[Security News] 해킹으로 유출된 이메일 계정, 정교한 ‘한글 피싱’에 재사용된다

딥웹 통해 국내 웹 사이트에서 유출한 계정 정보 31건 거래 정황 포착

단순 유출로 그치지 않고 이를 악용한 스피어 피싱 등 발생 가능성 존재

상대적으로 취약한 중소기업 사이트에서 유출 사례 많아…유출 방지 위한 노력 필요

해킹으로 유출된 계정정보가 딥웹, 다크웹 등 ‘어둠의 경로’를 통해 계속해서 유포되고 있습니다. 지난 4월 26일, 딥웹에 전 세계 305개 사이트에서 유출한 정보를 판매한다는 글이 게시됐으며, 이 중에는 국내 사이트 31개 정보 역시 포함돼 있었습니다. 가장 많은 정보가 유출된 스톡 이미지 판매 사이트의 경우 9만 5,583건의 정보가 유출됐으며, 유포자가 공개한 샘플 파일에 ID(이메일 주소)와 암호화가 풀린 비밀번호(평문) 등이 포함돼 있는 것으로 보아 국내 사이트 역시 이와 비슷한 정보가 포함돼 있을 것으로 추정됩니다.

사실 이러한 정보 유출에 대해 크게 우려하지 않는 사람이 많습니다. 주민등록번호나 계좌번호 같은 ‘치명적인’ 정보가 아니라 단순한 ID·PW 조합이라, 이를 바꾸기만 하면 된다고 생각하기 때문입니다. 하지만, 평문으로 저장된 ID·PW가 유출되는 것은 생각보다 더 많은 피해를 일으킬 수 있습니다.

한국인터넷진흥원이 지난해 실시한 설문조사 결과에 따르면, 전체 응답자의 26.5%가 업무계정과 개인계정에 동일한 ID를 사용하며, 18.9%가 비밀번호까지 동일하게 설정합니다. 즉, 웹서버 보안이 취약한 곳에서 유출된 ID·PW를 이용해 그룹웨어 등 업무용 서비스에 접근할 수 있다는 의미로, 이러한 공격을 ‘크리덴셜 스터핑(Credential stuffing)’이라고 부릅니다.

공격자가 동일한 로그인 정보를 이용해 다른 서비스에 접근하는 데 성공했다면, 이를 악용한 공격 역시 이뤄질 수 있는데, 개인용 서비스라면 공격자가 클라우드 저장소 등에 접근해 사진이나 신분증 사본 등을 유출하는 것도 가능하며, 주소록을 이용해 누군가를 사칭하면서 지인에게 피싱이나 보이스 피싱을 시도할 수도 있습니다.

만약 업무용 계정에 접근을 성공한다면 업무적으로 주고 받은 이메일 내용을 확인할 수 있는 것은 물론, 주고 받은 메일 내용을 참조해 협력사에게 정보 유출을 위한 악성코드나 랜섬웨어를 유포하는 것도 가능합니다. 특히, 피해자와 평소 연락을 주고받던 협력사라면 공격자가 사칭해 보낸 피싱 메일을 큰 의심 없이 열어볼 가능성도 크기 때문에 피해가 확산될 수 있습니다.

실제로 최근 한국어 기반 피싱 이메일은 이렇게 유출된 이메일 정보를 이용하는 경우가 많습니다. 한국어에 익숙하지 않은 공격자라도 이메일 본문을 그대로 복사하면 번역투나 오탈자 등 어색한 한국어 표현 없이 공격을 시도할 수 있습니다. 특히, 본문뿐만 아니라 메일 하단의 서명이나 메일을 보낸 사람의 이름 및 계정까지 그대로 사용하기 때문에 기존의 ‘엉성한’ 피싱 메일과 비교하면 상대적으로 수준이 높은 편입니다.

다음 이미지는 ‘납품 견본 주문’이라는 이름의 첨부파일을 포함한 한국어 피싱 메일입니다. 메일을 보낸 사람 이름은 아래 있는 서명에 있는 이름과 동일하며, 해당 노동법률사무소 역시 실제로 존재하는 곳입니다. 해당 사무소에서 업무용으로 사용하는 네이버 계정이 유출된 것으로 보이며, 공격자는 이를 이용해 피싱 메일을 발송했습니다. 다만, 한국어에 익숙하지 않은 탓인지 첨부파일 이름과는 큰 관련이 없는 계정을 이용해 피싱 공격을 시도한 듯합니다.

▲국내 노동법률사무소 이메일 계정을 통해 발송된 피싱 메일[자료=보안뉴스]

다음 이미지 역시 견적 요청이라는 이름으로 발송한 한국어 피싱 메일입니다. 특히, 이번 피싱 메일의 경우 본문과 제목까지 그대로 사용해 이메일을 보낸 기업과 관련성 역시 높습니다. 또한, 이번에 공격자가 탈취해 사용한 기업용 이메일은 실제 플랜트 건설 산업 분야의 기업으로, 이메일 제목인 ‘LNG 패키지 건설공사 견적의뢰서’라는 메일 제목과도 일맥상통합니다.

▲국내 플랜트 기업의 이메일을 통해 발생한 피싱[자료=보안뉴스]

이처럼 유출된 ID·PW는 단순해 해당 서비스에 대한 피해로 끝나는 것이 아니라 관련 있는 다양한 인물과 서비스에 대한 피해로 확대될 가능성이 언제나 존재합니다. 특히, 상대적으로 보안이 취약한 중소기업에서 계정정보를 유출한 뒤, 이를 악용한 사칭 범죄가 일어나고 있어 사용자는 더 주의를 기울여 대응할 필요가 있습니다.

그렇다면 이처럼 정교해지는 피싱 메일에는 어떻게 대응해야 할까요? 앞서 소개한 두 가지 사례 모두 한글과 유출 계정을 이용하는 정교한 방식을 택했지만, 기본적인 피싱 방식과 크게 다르지 않습니다. 우선 HTML 파일을 내려받아 실행할 경우 국내에서 많이 사용하는 그룹웨어 로그인 창이 나타납니다. 여기에 사용자가 무심코 자신의 ID와 PW를 입력할 경우 해당 양식은 공격자에게 전달되는 구조입니다. 압축 파일을 첨부한 형태 역시 내려받은 뒤 압축을 해제하면 실행 파일(exe)이 나오는데 이를 실행할 경우 랜섬웨어에 감염돼 파일이 암호화되거나, 내부에 침투해 추가적인 공격을 수행하는 트로이목마가 설치될 수 있습니다.

쉽게 말해 두 방식 모두 한글로 위장했을 뿐, 전형적인 피싱 유형입니다. 이 때문에 사용자는 기본적인 보안 수칙을 지키는 것만으로도 이러한 공격을 피할 수 있습니다. 특히, 불필요한 곳에 자신의 개인정보나 계정정보 등을 입력하지 않고, 상대방이 보낸 파일을 함부로 실행하지 않는 것이 중요합니다. 실행 파일뿐만 아니라 doc, xls 등 문서 역시 매크로 기능을 악용해 악성코드를 실행할 수 있기 때문에 이런 파일을 열었을 때 나타나는 보안 관련 메시지를 잘 읽어보고 해당 악성 코드가 자동 실행되지 않도록 주의해야 합니다.

무엇보다 이러한 공격은 상대적으로 보안이 취약한 중소기업 웹 서버나 메일 서버 등에서 유출된 정보를 기반으로 이뤄집니다. 따라서 중소기업 역시 보안에 대한 투자를 늘리고, 정부 지원사업이나 무료 컨설팅 등을 활용해 어떤 점이 취약한지 점검하는 등 보안 강화 방안을 마련해야 합니다.

출처 : 보안뉴스