<특집: 제어 시스템 사이버 보안 대책의 현황과 과제>우리는 생각만큼 똑똑하지 않습니다: 코로나19를 미끼로 사용하는 피싱 수법 > 전체기사

이전뉴스
Monthly Magazine of Automatic Control Instrumentation

기획특집 <특집: 제어 시스템 사이버 보안 대책의 현황과 과제>우리는 생각만큼 똑똑하지 않습니다: 코로나19를 미끼로 사용하는 피싱 수법

페이지 정보

작성자 댓글 0건 조회 3,587회 작성일 21-02-04 16:20

본문

그림 1.


가장 빠르고 결과 중심적인 해킹 방법은 시스템이 아닌 사람을 목표로 삼는 것이다. 그 이유는 바로 사람들이 특정 영역에서 자신의 지식 또는 능력을 과대평가하는 인지 편향, 즉 더닝 크루거 효과(Dunning-Kruger effect) 때문이다.

 

네트워크 보안의 경우, 사람들은 온라인상에서 위험한 상황을 판단하는 자신의 능력을 과대평가하곤 한다. 어찌 보면 당연한 일이다! 직장에는 평생 인터넷을 사용해 온 세대가 존재한다. 이들은 아주 어릴 때부터 디지털 컨텐츠의 소비와 선별을 동시에 해 온 세대이다. 심지어 그 이전 세대들도 온라인 세계를 탐험하는 데 수많은 시간을 할애했다. 2020년 우리 모두는 전세계적으로 연결된 이 세상 속에서 우리들의 능력이 뛰어나다고 자부한다.


하지만 해킹은 계속된다. 우리는 개인 또는 조직의 계정 및 데이터 센터가 피해를 입었다는 소식에 둔감해졌으며, 이제는 코로나19가 우리들의 디지털 라이프를 더 힘들게 만들고 있다.

 

피싱의 심리학어항 속 물고기

우리는 소셜 엔지니어링, 그리고 더 나아가 (스피어) 피싱의 동작 방식에 대해 이해해야 하며, 이러한 공격 유형의 희생양이 되는 이유를 알아야 한다. 평상시에 우리는 업무를 진행하면서 매우 감정적인 상태가 되지는 않다.

 

이메일을 받고 답장을 쓰는 것은 굉장히 일상적인 작업이다. 드문 경우지만 심장이 뛰고 감정이 격해지게 만드는 이메일을 상사나 고객으로부터 받을 때가 있다. 심리학자 폴 에크만(Paul Ekman)은 기본적인 감정을 분노, 혐오감, 두려움, 행복감, 슬픔, 놀라움의 여섯 가지로 분류했다. 관리자로부터 긴급한 이메일을 받는 경우, 처음에는 상사의 승인이 자신의 생계와 관련이 있기 때문에 두려운 감정이 들 수 있다. 하지만, 이메일을 읽고 나서 일처리를 잘 했다고 칭찬하는 내용에 두려움은 행복감으로 바뀔 수 있다. 물론 질책을 받는다면 슬퍼질 것이다. 이메일의 성격에 관계없이, 동료 중 한 명이 일상적인 도움을 요청할 때와 동일한 감정 상태에 있지는 않을 것이다. 감정적인 사람은 실수를 하므로 소셜 엔지니어의 목표는 특정 대상이 비이성적 사고를 유발하는 감정을 느끼도록 만드는 것이다. 또한 해커들은 스스로가 기술에 능통하며 해커의 희생양이 되지는 않을 것이라 믿는 목표물의 자만심을 이용한다.


코로나19는 감정적인 반응을 이끌어 내기 가장 좋은 주제이다. 사람마다 다르기는 하지만, 감정적인 반응을 할 가능성은 꽤 높다. 최근 코로나19로 인한 심리학적 피해와 관련하여 인적자원관리협회(Society for Human Resources Management)가 실시한 설문 조사에 따르면, 거의 직원 4명 중 1명이 종종 처지는 느낌, 우울감 또는 절망감을 느낀다고 답했다. 또한 41%는 업무와 관련해 극도의 피로감이나 진이 빠지는 느낌을 받는다고 답했다.


목표에 대한 지식이 풍부한 해커들이 사용하는 스피어 피싱(spear phinging)”은 일반적으로 무차별 난사 스프레이 앤 프레이(spray and pray) 피싱방법보다 더 효과적이다. 긴급함을 느끼게 하는 트리거를 찾아내기 위해서는 많은 시간이 소요된다. 전 세계인들의 건강에 위협이 되고 있는 코로나19는 이러한 상황에 안성맞춤이다. 모두가 더 많은 관련 정보를 찾아내려고 노력하고 있다.

 

코로나19 클릭베이트(Click-bait, 낚시성 링크) 분석

한 가지 공격을 살펴보겠다. 먼저, 코로나19와 관련하여 사실에 입각한 정보를 찾는 일은 까다로운 과제였다. 과학자들과 정치가들이 코로나바이러스의 위험성과 안전 유의 사항에 대한 언쟁을 벌이면서 모순되는 정보가 상당히 많이 존재한다. 이 불확실성이 완벽한 클릭베이트를 만들어 낸다.

 

사람들을 속이기 위해 만들어진 URL 하나를 우리 보안 연구 팀이 찾아냈는데, URL은 다음과 같다:

hxxps:[//]cdc.gov.coronavirus.secure.server[.]shorttermrental[.]org[/]vaccine/auth/cgi-bin/cgi-bin.exe

(이 기사를 읽는 분들이 클릭하는 것을 방지하기 위해 이 링크는 수정된 상태이다. 또한 수정 전 버전의 링크도 지금은 존재하지 않는다.)

이 링크를 자세히 분석해 보겠다.


▶먼저 서브도메인은 cdc.gov이다.

- 권위 있는 출처인 미국 질병관리센터에서 보낸 정보라고 믿게 만들기 위한 술책이다.

다음 서브도메인은 coronavirus이다.

- 이 링크에 특정 감정을 불러일으키는 주제에 대해 알리는 중요한 정보가 포함되어 있다고 속이기 위한 추가 정보이다.

다음 두 개의 서브도메인은 secureserver이다.

- 위험하지 않고 안심이 되는 도메인처럼 보이지만 진짜 도메인은 숨겨져 있다.

실제 도메인은 shorttermrental[.]org이다.

- 우리는 독자들이 범죄에 사용될 가능성이 있는 도메인으로 잘못 넘어가는 일이 없도록 올 바르지 않은 브래킷을 사용한다.

링크 디렉토리 내에 감정을 흔들기 위한 또 다른 키워드, vaccine이 있다.

- 이 키워드는 여러 가지 궁금증을 자아낸다: CDC가 백신을 지지하는 것일까? 치료제가 있는 것일까?

다음은 /auth/cgi-bin이다.

- 공통 게이트웨이 인터페이스 스크립트를 실행하는 Apache 웹서버용 디렉토리이다.

- 이 부분은 이전에 여러 차례 url에서 본 적이 있으며, 자칭 인터넷 사용 전문가인 우리들 은 전에 본 적이 있지만, 잘 모르는 url 부분에 겁을 먹지 않는다.

- 우리는 굉장히 똑똑하며, 우리의 이해도는 더닝 크루거 효과를 기반으로 한다(반어법).

cgi-bin.exe

- 전에 봤었던 것 같지만 잘 모르는 문자열을 반복해서 맬웨어를 숨기고 있다.

- 이는 반복으로 인해 단어 또는 구의 의미가 일시적으로 사라져 독자가 컨텐츠의 의미가 없다고 여기게 되는 심리학적 현상인 의미 포화(semantic satiation)라는 개념이다.

 이 기법을 맬웨어에 적용한 것이 다음 URL이다: /auth/cgi-bin/cgi-bin.exe


...후략 


필 트레이너(Phil Trainor) / 키사이트테크놀로지스 보안 솔루션 부문 디렉터

본 기사는 2021년 2월호에 게재되었습니다. 


-----------------------------------------------------------

제어계측 편집부 (auto@autocontrol5.co.kr)

<저작권자 : 제어계측 무단전재 및 재배포 금지> 

 

제어계측사     대표자  이윤성     사업자등록번호  107-19-58315     TEL  031-873-5686     FAX  031-873-5685
ADD  경기도 의정부시 신흥로258번길 25 해태프라자 1501호      E-mail  autocontrol5@autocontrol5.co.kr
Copyrights ⓒ 2020 제어계측사 All rights reserved.