"美 금융사 위협정보공유 포럼, 피싱공격 당해"

컴퓨팅입력 :2018/03/02 10:53

금융권 사이버위협에 맞서 운영되고 있는 미국 금융서비스정보공유분석센터(FS-ISAC)가 피싱(phishing) 공격에 당했다는 소식이 나왔다.

보안전문 블로그 '크렙스온시큐리티'는 1일(현지시간) FS-ISAC가 소속 직원 중 한 명이 피싱 공격에 당했음을 밝혔다고 전했다. [☞원문보기]

FS-ISAC는 미국 은행 및 금융 산업을 겨냥한 사이버보안 위협에 대응하기 위해 회원사 데이터를 공유하는 산업포럼 커뮤니티다. 지난해 4월 방한한 아카마이 금융서비스보안 전문가에 따르면, 이 커뮤니티는 지난 1990년말 미국서 출범해 당시 기준 한국을 비롯한 여러 은행과 금융사 7천 곳이 사이버위협정보를 공유하고 있다. [☞관련기사]

피싱은 사람들을 위조된 웹사이트로 유인해 개인의 신상정보, 계정명과 패스워드, 신용카드 번호같은 민감한 데이터를 훔치는 사이버 범죄 행위를 말한다. 피싱 공격을 수행하는 사이버 범죄자는 정상 웹사이트로 가장한 가짜 웹사이트를 만들고, 방문 링크를 누르도록 유도하기 위해 일반적으로 이메일을 유포하는 수법을 즐겨 쓴다. 이는 불특정 다수를 겨냥한 스팸일 수도, 특정 집단을 노린 사기 메일일 수도 있다.

FS-ISAC는 수많은 회원 금융사들에게 위협정보를 공유하며 각종 사이버 범죄 수법에 대한 경각심을 일깨워 왔다. 피싱 공격을 당한 회원사들은 수상한 움직임을 포착할 때 즉각 커뮤니티에 제보하며 서로 주의를 당부하곤 했다. 이런 조직에서조차 피싱 공격에 걸려들었다는 소식은 그만큼 누구든지 이런 공격 위협에서 자유롭지 않다는 점을 방증한다.

FS-ISAC 측에서 지난 2월 28일 회원사들에게 공유한 문건 내용에 따르면, FS-ISAC 직원은 최초 공격자로부터 받은 피싱 이메일을 클릭해 그 계정(login credentials)을 침해당했다. 공격자는 다른 계정정보를 수집하기 위해 만든 가짜 웹사이트를 만들고, 그 링크를 담은 PDF 문서를 첨부한 이메일을 만들었다. 이 피싱 이메일은 앞서 훔친 직원 메일 계정으로 선별된 FS-ISAC 회원사, 산하기관, 직원에게 발송됐다.

관련기사

이런 계정 또는 명의도용 시나리오에 대비하기 위해, FS-ISAC는 전체 이메일 플랫폼에 다중요소인증(MFA) 솔루션을 적용할 계획이었다. MFA는 계정 사용자의 신원을 여러 수단으로 확인하는 인증방법을 가리킨다. 과거에는 계정 사용 권한을 패스워드라는 1가지 요소로만 확인했지만 이제 도용 위협에 놓인 주요 서비스는 SMS, 일회용패스워드(OTP), 생체정보 등을 추가 확인하는 식으로 MFA를 도입하는 추세다.

다만 FS-ISAC를 겨냥한 피싱 공격은 미처 MFA 솔루션이 구현되지 않은 시점에 진행됐다. 빌 넬슨 FS-ISAC 최고경영자(CEO)는 "이 일로 내가 실망스럽다고 말하는 건 (표현을) 절제한 것"이라며 "우리는 모든 자산에 아주 서둘러 MFA를 적용해야 한다"고 말했다.