[CCTV뉴스=최형주 기자] 보안기업 파이어아이가 ‘2019년 1분기 이메일 위협 보고서(Email Threat Report)’를 발표하면서 ▲스푸핑(Spoofing)을 통한 피싱 시도 ▲HTTPS 암호화를 적용한 URL 기반 공격 ▲대중적인 파일 공유 서비스를 이용한 클라우드 기반 공격 등 세 개의 주요 분야에서의 위협 증가가 이뤄지고 있다고 밝혔다.
피싱 공격 17% 증가··· 마이크로소프트 사칭이 가장 많아
먼저 피싱은 자격 증명 정보나 신용 카드 정보를 탈취하는 것이 목적이다. 기존에 알고 있는 연락처나 신뢰할 수 있는 회사를 사칭해 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다.
보고서를 통해 파이어아이는 2019년 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다고 밝혔다.
공격 활동에서 가장 많이 사칭된(스푸핑) 기업 중 하나는 마이크로소프트(Microsoft)로, 분석된 13억 건 중 약 30%를 차지했다. 이외에도 원드라이브(OneDrive), 애플(Apple), 페이팔(PayPal), 아마존(Amazon)이 뒤를 이었으며, 각각 6~7% 수준을 차지했다.
HTTPS도 안전사각지대, URL 기반 공격 26% 상승
지난 2018년 파이어아이는 ‘URL 기반 공격’이 ‘첨부 파일 기반 공격’을 추월했다고 보고한 바 있다. 이런 추세는 2019년 1분기에도 이어졌으며, 특히 HTTPS를 이용한 악성 URL이 이전 분기 대비 26% 증가했다.
이에 대해 파이어아이측은 악성 행위자가 온라인상에서 상대적으로 안전하다고 인식되는 HTTPS를 이용하고 있다고 밝혔다.
드롭박스, 원드라이브 등 파일공유서비스 통한 공격도 증가
2019년 1분기에는 클라우드 기반, 특히 파일 공유 서비스를 이용한 공격이 증가했다. 파이어아이는 위트랜스퍼(WeTransfer), 구글드라이브(Google Drive), 원드라이브(OneDrive)와 같이 신뢰도가 높고, 대중적으로 이용되는 파일 공유 서비스에 게재된 악성 파일로의 연결 링크 수가 급격하게 증가했다고 분석했다.
보고서에 따르면, 파일 공유 서비스 공격에 가장 많이 사용된 매체는 드롭박스(Dropbox)다.
경영진 사칭, 관련 부서 등 공격하는 신종 수법도 등장
경영진을 사칭한 사이버 ‘캐시카우’ 공격도 지속적으로 증가하는 가운데, 이번 분기에는 접근 방식도 다양해졌다.
캐시카우 공격은 대부분 조직의 회계 담당 부서를 표적으로 CEO나 다른 고위 임원을 사칭한 ‘스푸핑 이메일’을 발송하는 방식이며, 올 1분기에 증가한 두 가지 신종 변종 공격은 다음과 같다.
첫 째는 급여 담당 부서를 이용하는 수법이다. 이는 조직 임원의 급여를 제3의 계좌로 빼돌리기 위함이며, 급여 관련 부서에 은행 계좌 정보 등 임원 개인 정보 변경을 요청하는 이메일을 보낸다.
두 번째는 공급업체 이용 수법이다. 기존 신뢰를 쌓아온 공급업체를 사칭해 해당 업체에 대한 지불금이 제3자의 계좌로 입금되도록 유도한다.
이번에 발표된 ‘파이어아이 이메일 위협 리포트’는 2019년 1월부터 3월까지 약 13억 건의 이메일 샘플 세트를 분석한 결과다. 최신 악성 콘텐츠 전달 기법이나 사칭 기술, URL 기반 공격에 대한 자세한 내용은 파이어아이 홈페이지를 통해 확인할 수 있다.
켄 배그널(Ken Bagnall) 파이어아이 이메일 보안 부문 부사장은 “파이어아이는 2019년 1분기에 조직 내 신규 담당자 혹은 부서를 표적으로 하는 새로운 변종 사칭 공격들을 발견했다”며, “정말 위험한 것은 진화하는 사이버 공격을 식별할 지식이 부족해 사기임을 알아차렸을 때는 이를 합법적인 송장으로 착각해 사기 계좌로 입금을 끝낸 경우가 많다”고 전했다.
