[뉴스토마토 곽보연기자] #지난 11일 북한의 소행으로 추정되는 '스피어 피싱' 사건이 발생했다. 북한이탈주민단체 대표 장모씨는 유명 대학교수로부터 온 이메일의 첨부파일을 아무런 의심없이 다운받았다가 PC에 저장됐던 개인 자료들이 특정사이트로 빠져나가는 것을 발견했다.
#직장인 함모씨는 최근 같은 회사의 메일계정을 쓰는 직원으로부터 이메일로 '연봉협상결과통지서'를 받았다. 함씨는 인사팀 직원이 보낸 것으로 생각하고 의심없이 메일을 열고 첨부파일을 다운받았지만 별다른 변화는 없었다. 하지만 이후 이 PC에 저장된 모든 정보가 밖으로 유출된 흔적이 발견됐다.
불특정 다수를 대상으로 했던 피싱(사기 이메일 등)이 이제는 특정인 혹은 특정 기업을 대상으로 한 '스피어 피싱'으로 발전하고 있다.
24일 보안업계에 따르면 최근들어 보안 위협 트렌드가 문자를 통한 사기 행위인 '스미싱'이나 이메일 등을 통해 개인정보를 빼가는 '피싱' 등에서 특정 타깃을 대상으로하는 '스피어 피싱(Spear phishing)'으로 발전하고 있는 것으로 나타났다.
스피어 피싱은 불특정 다수가 아닌 특정인(조직)을 표적으로 하며 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹사이트로 유도한다. 또는 악성 첨부파일을 열면 악성코드에 감염돼 정보가 유출되는 온라인 사기행위다.
일반적인 스팸 메일처럼 불특정 다수를 노리는 것이 아니라 해커가 특정인 혹은 기업(기관)을 노리고, 일반적인 광고나 애드웨어보다 훨씬 심각한 정보유출이 가능하며, 정상파일을 보여주거나 내용을 의심할 수 없을 정도로 정상 메일과 유사하다.
◇이력서 문서파일 형태로 위장한 스피어 피싱의 악성코드.(사진=ASEC 리포트 46호, 정리=안랩)
해외기관의 통계에 따르면, 지금까지 밝혀진 APT성 '표적형 공격'의 90% 이상은 스피어 피싱으로 유발됐거나 공격에 사용됐고, 이들은 주로 기관과 기업을 타겟으로 삼았다. 대부분의 스피어 피싱에는 첨부파일이 있었던 것으로 나타났다.
스피어 피싱을 할 때 해커들은 공격을 할 표적을 정한 뒤 페이스북이나 트위터 혹은 인터넷에서 퍼져 있는 상대방의 정보를 수집한다. 자주 가는 웹사이트나 취미, 소속된 조직 등 표적 대상에 대한 정보를 수집하고 피싱 메일을 전송하는 것이다.
전문가들은 개인이 일상 생활에서 이런 스피어 피싱을 겪는 경우는 거의 없을 수도 있다고 설명한다. 하지만 자신이 일하는 기관이나 기업에서 PC를 사용할 경우, 특히 중요한 직책을 맡고 있다면 스피어 피싱을 의심해봐야 한다.
업계 관계자는 "사용자가 자신의 PC가 감염됐는지 여부를 구분하기 어렵기 때문에 스피어 피싱이 위험한 것"이라면서 "해커가 특정 조직을 목표로 삼으면 장기간에 걸쳐 목표 조직의 거의 모든 것을 파악한다"고 말했다.
스피어 피싱을 예방하기 위한 방법으로는 먼저 조직의 경우 전체적인 관점에서 이 스피어 피싱이 APT공격과 어떻게 연관 될 수 있는지 맥락을 파악하는 것이 중요하다고 전문가들은 말한다.
스피어 피싱에 사용되는 악성코드는 맞춤형 소량 제작 악성코드이기 때문에 알려진 악성코드에 대응하는 백신도 물론 사용해야 하지만 다계층적인 보안 솔루션을 조직의 특성에 맞게 설계하는 것이 필요하다는 설명이다. 또 솔루션 도입에만 그치지 않고 정기적으로 직원 보안교육, 내부 보안 인재 육성 등의 노력도 동시에 진행돼야 한다.
개인의 경우 조금이라도 수상한 메일의 첨부파일이나 URL을 실행하지 않는 것이 스피어 피싱을 막을 수 있는 가장 확실한 방법이다. 또 사용하고 있는 소프트웨어 프로그램 제공사에서 보안 패치를 발표하면 이를 꼭 업데이트해야 하고, 특히 모르는 사람에게서 받은 파일을 열었을 때는 즉시 사내 보안 담당자에 연락해 후속 조치를 취해야 한다.