실제 사례를 통해 알아보는 스피어피싱

실제 사례를 통해 알아보는 스피어피싱

스피어 피싱에 대해 들어보신 적 있으신가요?

스피어피싱(Spear Phishing)이란 작살낚시에 빗댄 표현으로, 불특정다수가 아닌 특정기관이나 기업의 내부직원을 표적 삼아 집중적으로 공격하는 행위를 일컫는 용어입니다.

다시 말해 정부기관이나 기업조직 등 특정 타깃의 내부 이용자를 은밀히 염탐하고 해당 조직의 기밀정보를 빼내기 위해, 신뢰할 수 있는 내용처럼 위장한 악성 이메일을 관련자들에게 전송시켜 감염시킵니다. 이후 원격제어 및 데이터 탈취 등을 시도하는 대표적인 지능형 표적공격입니다.

해당 내용은 알약 보안상식(▶참고)에도 바로 얼마 전 언급되었던 내용이기도 합니다. 최근 이러한 스피어 피싱 공격의 사례가 발견되어 관련 내용에 대해 알려드리며, 사용자 여러분의 주의를 요청드립니다.

2014년 8월 29일, “2014 첨단국방산업전” 사무국에서 발신한 것처럼 사칭한 스피어피싱(Spear Phishing) 이메일이 발견됐습니다.

“2014 첨단국방산업전”은 육군교육사령부, 국방기술품질원, 대전광역시에서 공동 주최하는 행사로 2007년부터 매년 육군교육사령부에서 개최하고 있는 국방관련 전시회입니다. 올해에는 11월 25일부터 28일까지 대전 무역전시관(KOTRA)에서 약 100개사 200부스가 참석하는 규모로 개최될 예정이며, 국방 및 무기체계 관련 각종 부대행사와 세미나가 함께 진행될 계획이라고 합니다.

이번에 발견된 스피어피싱은 이례적으로 수신자와 참조자가 다수 포함된 점이 특징입니다. 받는 사람이 12명이고, 참조로 등록된 사람도 9명으로 총 21명이 동시에 해당 스피어피싱 공격을 받도록 설계되어 있습니다. 보통의 스피어피싱은 특정인에게 선별적으로 보내는 형태가 많은 반면, 이번 경우는 다수의 이용자에게 동시다발적으로 보내졌습니다. 공격자는 “실제 안내메일의 경우 다수의 수신자에게 함께 발송하는 경우가 많다는 점”을 오히려 역이용하고 있는 것으로 추측됩니다.

실제 스피어피싱 이메일은 아래와 같은 형식으로 보내졌는데, 이런 스피어 피싱의 공격 사례를 사전에 충분히 인지하고 있다면 차후 유사한 보안위협을 대비하고 예방하는데 많은 도움이 될 수 있습니다.

※ 첨부파일의 2중 확장명은 99.9% 악성파일

악성 이메일은 제목과 본문들이 첨단국방산업전 사무국에서 발송한 것처럼 교묘하게 조작되어 있고, 수신자들이 최대한 신뢰하게끔 매우 구체적인 표현을 포함하고 있습니다.

그림1. 스피어 피싱 공격에 활용된 실제 이메일 화면

 

스피어피싱 이메일에는 “국방산업전 브로슈어(국문) 8p 출.pdf” 이름의 정상파일과 2중 확장명을 가지고 있는 “첨단국방산업전-포스터웹.pdf.exe” 이름의 악성파일이 함께 포함되어 있습니다. 스피어피싱 공격에는 문서파일의 보안취약점을 이용하는 경우도 많지만, EXE 실행파일 형식의 악성파일을 문서파일처럼 단순 조작한 사례도 많이 존재합니다. 수신자 명단에는 명확한 소속 확인이 어려운 포털 웹 메일 이용자가 대거 포함되어 있고, 그 외 국내 유명기업 및 대학에 소속된 이메일 계정이 여럿 포함되어 있습니다.

 

수신자들 중에 운영체제의 폴더옵션 (□ 알려진 파일 형식의 파일 확장명 숨기기) 설정 부분에 V 체크 표시가 되어 있는 경우에는 아래와 같이 실제 PDF 문서파일처럼 보이게 됩니다.

그림2. 폴더옵션의 확장명 숨기기 설정에 따른 2중 확장명 화면

공격자는 아이콘이 Adobe Reader 파일처럼 보이도록 하기 위해 아이콘 리소스도 PDF 문서파일용으로 조작하는 치밀함을 보여줍니다.

※ 스피어피싱은 둔갑술의 귀재

  

“첨단국방산업전-포스터웹.pdf.exe” 악성파일이 실행되면 동일 경로에 정상적인 “첨단국방산업전-포스터웹.pdf” 문서파일을 생성하고 실행합니다. 따라서 이용자 화면에는 실제로 정상적인 PDF 문서파일의 화면이 일부 보여지게 됩니다.

그림3. 악성파일이 정상PDF문서를 실행해 준 모습

정상적인 PDF 문서파일을 실행함과 동시에 이용자가 눈치채지 못하게 임시폴더(Temp) 경로에 “conhost.exe” 이름의 추가 악성파일을 몰래 설치하고 자동으로 실행하게 됩니다.

해당 악성코드는184.164.81.5:80 원격지(C&C) 주소로 접속을 하여, 추가적인 명령을 무한 대기하게 됩니다. 이후 공격자의 원격제어 및 추가 명령에 따라 변종 악성코드가 추가로 설치되거나 정보가 유출되는 피해를 입을 수 있게 됩니다.

※ 유사 스피어피싱 예방법

Windows 운영체제들의 폴더옵션 초기설정 값이 기본적으로 확장명 숨기기로 되어 있어 이용자들은 2중 확장명 기법에 각별한 주의가 필요합니다. 특별한 이유가 없다면 가급적 확장명 숨기기 기능을 해제하여 사용하는 것을 권장합니다.

 

그럴 경우 2중 확장명으로 되어 있는 첨부파일을 육안만으로 조기에 쉽게 구별하고 악성여부를 빠르게 의심해 볼 수 있기 때문입니다. 더불어 2중 확장명일 경우 십중팔구는 악성으로 판단해도 무관할 정도로 스피어피싱 공격에 자주 이용된다는 점을 명심한다면 유사한 보안위협을 예방하는데 큰 도움을 받을 수 있습니다.

 

마지막으로 문서(HWP, PDF, DOC 등)파일의 취약점을 이용한 공격방식도 많으므로, 자주 사용하는 프로그램은 항상 최신버전으로 업데이트하는 것이 중요합니다.

 

또한, 알약과 같은 백신 또는 알약 익스플로잇쉴드 같은 취약점 방어 솔루션과 같은 취약점 공격을 차단하는 보안제품을 설치하고 수시로 점검하는 습관이 중요하겠습니다.