피싱 사기꾼의 새로운 공격 수단「개인화」

스패머들과 피싱 사기꾼들이 공격 기량을 향상하기 위해 잠재적인 희생자를 파악하는 일에 열을 올리고 있다.

보안 전문기업 블루 시큐리티는 최근 발표한 보고서를 통해 비밀번호 확인과 등록 절차에 이메일 주소를 이용하는 웹 사이트들이 회원들의 세부 정보를 얻으려는 사기꾼들에게 노출돼 있다고 발표했다.

보고서에 서술된 바에 따르면 스패머들과 피싱 사기꾼들은 웹 사이트 등록과 비밀번호 확인 툴을 통해 수천 개의 이메일 주소를 자동적으로 수집하는 기술을 이용한다. 많은 온라인 기업들은 이메일 주소를 등록하면 회원들에게 특정 메시지를 회신하는데 공격자들이 이 주소가 유효한지를 알아낼 수 있기 때문이다.

이들은 수많은 사이트에서 추출한 정보를 이용해 수신자에게 악의적인 이메일을 보낼 수 있다. 이 때문에 인터넷 이용자들은 실제 메시지와 정크 혹은 사이버 사기꾼들이 보낸 메시지를 판별하기가 더욱 어려워지고 있다. 또한 전문가들은 스팸 필터에서 변형된 메시지가 걸러질 확률은 더 낮을 것이라고 입을 모은다.

안티피싱 워킹그룹 회장 데이브 예반스는 “피싱 공격은 최근 들어 더욱 개인화되고 대상도 분명해지기 시작했다”고 밝혔다. 이러한 사기 관련 메시지는 수신자의 이름이나 이메일 주소뿐만 아니라 심지어는 더 많은 다른 정보까지도 포함하고 있다고 그는 덧붙였다.

갈수록 지능화되는 피싱 공격

피싱은 사용자 이름, 비밀번호, 신용카드 번호 등 중요한 정보를 도용하기 위해 일반화된 온라인 사기 수법이다. 피싱 사기꾼들은 이런 정보를 획득한 후 판매하거나 아이디를 도용한다. 피싱은 대개 스팸 이메일과 합법적인 사이트로 위장한 사기성 웹 페이지를 통합한 것이다.

사기꾼들은 대부분 스스로 수집하거나, 구매 혹은 이메일 수집 툴을 통해 모은 이메일 주소 리스트를 확보하고 있다.

등록이나 비밀번호 확인 공격을 이용하는 수법은 회신 메일이다. 대부분의 온라인 기업들은 이메일 주소가 사이트에 등록되면 '이 주소는 등록이 완료됐습니다'와 같은 특정 회신 메시지를 보낸다. 공격자가 이 회신 메일을 확보하게 되면 이 주소가 유효한 주소라는 점을 알아채게 되는 것이다.

블루 시큐리티 CEO 이런 리쉐프는 사이버 범죄자들은 이메일 주소를 웹 사이트와 매칭하는 수법을 통해 성별, 이성 취향, 정치적 성향, 거주지, 취미뿐 아니라 사용자가 이용한 적이 있는 온라인 쇼핑몰까지도 알아낼 수 있다고 경고했다.

그는 “누군가 당신이 등록한 모든 웹 사이트를 알고 있다고 상상해 보라. 또 이 정보를 통해 어떤 것을 추측해 낼 지에 대해서도 생각해보라”며, “이 모든 정보를 수집함으로써 한 개인에 대한 단편적인 정보가 아니라 매우 상세한 프로파일까지도 만들어낼 수 있다”고 지적했다.

이렇게 되면 합법적으로 위장된 이메일 메시지가 정확한 정보를 포함하고 있을 가능성이 높아 이를 의심하지 않는 수신자를 대상으로 한 공격 성공률이 더욱 높아진다. 예를 들어 은행이나 신용카드 회사에서 보낸 이메일은 수신자의 이름을 명시할 수 있고, 수신자가 실제로 이용하는 온라인 쇼핑몰까지도 언급할 수 있다.

블루 시큐리티는 미국의 유명한 웹 사이트들이 대부분 피싱 사기꾼들과 스패머들이 만든 ‘적대적 프로파일’을 허락하고 있다는 사실을 발견해냈다. 또한 온라인 쇼핑몰, 스포츠팀의 웹사이트, 정치 조직, 기타 그룹 등 더 작은 규모의 많은 웹사이트들이 이러한 보안 취약성에 노출돼 있다고 리쉐프는 지적했다.

리쉐프는 주요 은행 등 웹사이트 운영업체 중 일부는 이미 이 문제를 인식하고 있다고 밝혔다. 이들 사이트는 로그인 이름에 이메일 주소를 사용하지 못하도록 하고 있으며, 등록, 비밀번호 확인, 혹은 다른 보안 수단들을 이용해 추가 정보를 요구하고 있다고 덧붙였다.

사용자 ID로 사용한 이메일 주소가 공격 시발점!

이베이는 등록과 비밀번호 확인 공격을 철저히 막고 있는 온라인 기업이다. 이베이의 글로벌 저작권 부서 수석 고문 스콧 쉬프만은 이베이는 피싱 기법이 이슈로 떠오르기 전에 이미 이메일 주소를 사용자 ID로 사용하지 못하도록 했으며, 등록과 비밀번호 확인 과정에도 다른 보안 수단을 이용하고 있다고 밝혔다.

그는 “이베이는 이메일 주소나 사용자 ID가 실제로 이 사이트에서 유용한 사용자 ID인지를 확인하는 것 같은 단순한 정보 등 승인되지 않은 정보 유출에 대한 모든 가능성을 차단하고 있다”고 강조했다.

이베이의 경우 사용자 ID 확인 기능에 대해서는 문의가 들어온 이메일 주소의 사이트 등록 여부와 상관없이 동일한 회신메일을 보낸다. 쉬프만은 “이 에러 메시지에 사용된 언어로 해당 이메일이 유효한 것인지를 판단할 수는 없을 것”이라고 덧붙였다.

그는 또한 사용자 정보를 유출시키지 않도록 웹 사이트를 설계하는 것은 모든 사이트 운영자들이 당연히 해야 하는 일이라며, 이베이는 이 부문을 실천하고 있는 가장 좋은 사례라고 자신했다.

적대적 프로파일은 피싱 메시지가 더 많은 목표 대상을 확보할 수 있는 유일한 방법이다.

5월 초 보안 조사기관들은 유출된 고객 데이터가 특정 은행에서 개인 계좌 소유자를 삭제하기 위한 피싱 사기에 이용됐다고 밝혔다.

안티피싱 워킹그룹의 예반스는 블루 시큐리티의 보고서가 점차 수면위로 부상하고 있는 피싱 위협을 강조하고 있다며, 온라인 기업들이 취약한 상태에 놓여 있는 등록과 비밀번호 확인 기능을 제거하기 위해 더 전진해야 한다는 점에 동의한다.

그는 “이 보고서에서 언급한 상황은 모두 실제 일어나고 있는 일들이다. 웹 사이트 운영자라면 자신의 사이트가 악의적으로 이용되지 않도록 확실하게 코딩할 수 있고, 아마도 그렇게 해야만 될 것”이라고 강조했다. @