방어 장치를 우회하는 새로운 피싱 기술들

요즘 대부분의 메일 서비스나 오피스 솔류션은 피싱에 대한 방어 장치를 갖추고 있다. 메일에 포함된 링크를 일일이 추적하여 악성 사이트로 연결되는 것은 미리 차단하는 것이다. 그런데 이런 방어 장치를 회피하는 피싱 기술 또한 발전하고 있다.

기업에서 많이 이용하는 마이크로소프트 오피스365도 피싱 방어 장치를 갖고 있는데, 이를 무력화하는 새로운 기법들이 계속 나오고 있다. 아래에 나오는 링크 쪼개기는 5월에, 제로폰트 기법은 6월에 발견됐고, 현재는 보완 조치가 된 상태다. 그러자 셰어포인트 문서를 이용하는 방법이 새롭게 나타났다.

제로폰트(ZeroFont) 기법

문장 일부분을 폰트 크기 0으로 하는 방법이다. 0 크기의 문자는 사람 눈에는 안보이지만 컴퓨터에는 보인다. 예를 들어 다음과 같은 문장을 이용한다고 하자.
Microprocessors run optimize software to store your secrets Securely. It is also good for system integrity, thanks to our Team.

이것을 다음과 같이 일부분의 폰트를 0으로 한다. 여기서는 작게 표시했지만, 실제 피싱 메일에서는 0으로 해서 아예 보이지 않는다.
Microprocessors run optimizesoftware to store your secrets Securely. It is also good for system integrity, thanks to our Team.

결국 사람 눈에는 Microsoft Security Team으로 보이게 된다. 컴퓨터의 안티 피싱 소프트웨어는 평범한 문장으로 인식하지만, 사람은 신뢰할 수 있는 발신자로 판단하게 되는 것이다.

링크 쪼개기(baseStriker attack)

악성 링크를 <base> 태그를 이용해 분산시키는 방법이다.

예를 들어 https://bit.do/ee9mr이라는 악성 링크가 있다고 하자. 이를 그냥 피싱 메일에 표시하면 안티 피싱 소프트웨어에 차단된다. 그러나 https://bit.do는 base 태그를 이용해 헤드에 두고, 본문에는 ee9mr만을 표시하면 보안 툴이 놓치게 된다.

SharePoint document에 링크 숨기기

마이크로소프트의 협업 솔류션인 셰어포인트를 이용하는 방법이다. 피싱 메일 자체에는 셰어포인트에 저장된 문서로 연결되는 정상 링크만을 둔다. 그리고 그 문서에 악성 링크(예를 들어 원드라이브 로그인으로 가장하는)를 포함시켜 클릭을 유도하는 것이다.

비슷한 경우로, 구글 독스(docs)의 설문지에 악성 링크를 삽입한 피싱 메일이 가상화폐 투자자를 노려 많이 뿌려지고 있다.

피싱(Phishing) 대책

여러 가지 기발한 방법이 나오고 있지만, 가짜 사이트를 구별할 수만 있다면 피할 수 있다. 실제 사례를 잘 살펴보는 것이 도움이 될 것이다.

'긴급'같은 당혹을 유발하는 내용, '유출'같이 호기심을 자극하는 내용 등 의심스러운 링크를 주의한다. 아는 사람이 보낸 메일이라도 해킹이나 조작 등으로 실제 그 사람이 보내지 않았을 수도 있다.

로그인을 요하는 페이지 등 금전이나 개인정보에 관련된 내용을 입력할 때는 주소창과 SSL 인증서 상의 실제 주소를 꼼꼼히 확인한다.

2단계 인증은 효과적인 계정 보호 수단이다. 휴대폰을 이용할 때는 SMS보다는 앱 기반의 인증 수단을 이용하는 게 좋다. 최근의 몇 가지 사건을 통해 SMS 기반의 2단계 인증은 비교적 쉽게 뚫린다는 것이 입증됐다.

소프트웨어 업데이트와 보안 툴로 기기 보안을 잘 유지해야 한다. 피싱 메일은 개인정보 탈취를 위한 것도 많지만 악성코드 유포용도 많다. 제로데이 취약점을 이용할 경우 링크 클릭만으로도 악성코드에 감염될 수 있다.


관련 자료
  1. 피싱(phishing) 사기 피하는 방법
  2. 구글 독스(docs)를 이용한 피싱 주의

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다