[아이티데일리] 많은 사람들이 재택근무에 익숙해지고 있으며, 팬데믹이 지나간 후에도 이러한 업무 방식은 이어질 것으로 예상된다. 머서 연구(Mercer study)에 따르면 응답 기업의 70%가 사무실과 원격지에서 업무를 병행하는 하이브리드 모델을 채택할 것이라고 예상했다. 응답한 회사들에게는 그럴만한 이유가 있다. 플렉스잡스(FlexJobs) 설문 조사에 따르면 직장인 응답자의 거의 60%는 원격으로 계속 일할 수 없다면 무조건 새로운 직장을 찾을 것이라고 답했다.

이 설문내용이 기업 사이버 보안에 의미하는 바는 무엇일까? 바로 공격자가 원격 직원이 집중적으로 작업하는 웹 브라우저에 집중 공격할 것임을 의미한다. 오늘날 사이버 공격자들은 원격 직원들에게 피싱 또는 스피어 피싱 이메일을 통해 악성 링크를 보낸다. 흥미롭게도 연구에 따르면 모든 사이버 공격의 90% 이상이 피싱 공격과 관련돼 있으며 실제적으로 이러한 링크 공격이 성공률이 높아 공격이 계속될 것으로 예상된다. 또한 공격자들은 직원들이 기술을 사용하는 ‘방법’과 ‘어디서’가 발전함에 따라 공격 방법을 변환하고 있다.

공격을 수정하는 한 가지 방법은 HEAT(회피성이 뛰어난 지능형 위협, Highly Evasive Adaptive Threats) 전술을 사용하는 것이다. 보안 담당자들은 피싱 공격을 하는 위협 행위자들의 악성 URL을 피하기 위해 노력하지만, 링크를 확인해 보게 하는 공격자의 전략이 성공하고 있는 것으로 입증되고 있다. 멘로 랩(Menlo Labs) 연구팀은 2021년 하반기에 HEAT 공격이 224% 증가한 것을 확인했다. 많은 경우 이러한 공격으로 인해 랜섬웨어가 유포됐다.

일반적으로 피싱 공격에는 사용자가 평판이 좋은 사람이나 회사와 상호 작용하고 있다고 생각하도록 속이는 기만적인 커뮤니케이션이 포함된다. 역사적으로 피싱 공격은 이메일을 통해 전달됐다. 이러한 이메일은 일반적으로 일부 형태의 일반 사회 공학 기술을 사용해 사용자가 악성 링크를 클릭하도록 속이고 커뮤니케이션에서 가장한 브랜드나 사람에 대한 피해자의 신뢰를 이용한다. 스피어 피싱 공격에서 공격자는 표적이 된 희생자를 조사하고 대상을 유인하거나 안주하게 만드는 데 사용할 수 있는 ‘좋아하는 것’, ‘바라는 것’ 등 삶의 여러 가지 측면을 확인한다.

사이버 공격은 조직이 이미 제품 및 서비스를 다수 사용하고 있는 마이크로소프트(Microsoft) 솔루션 등을 통해 이메일 피싱 등의 접근 방식으로 이루어지고 있다. HEAT 공격을 통해 사용자는 소셜 미디어 및 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서, 공유 폴더 등과 같은 이메일 이외의 통신 채널을 통해 악성 링크의 공격을 받는다. 이러한 악성 링크는 기업 보안을 우회하고 기업 엔드포인트에 멀웨어를 전달하기 위해 개인 자격 증명 대신 기업 자격 증명을 훔치는 데 점점 더 많이 사용되고 있다.

진화된 사이버 보안 공격 전술

사이버 공격자는 기업이 이메일 보안을 지속적으로 개선하고 이러한 채널에서 맬웨어 및 악성 링크를 적극적으로 검사한다는 점에 주목하고 있다. 보안 인식 교육 덕분에 공격 대상임을 알고 있는 직원들은 자신의 안전이 완전히 확신되지 않을 때 이메일을 클릭하지 않는다. 그러나 사람들은 교육을 받음에도 불구하고 해킹공격에 속으며 여전히 많은 직원들이 클릭하는 링크에 대해 신중하지 않아 공격에 빠지는 일이 발생한다. 이를 막기 위해 기업은 점점 더 많은 직원들에게 보안에 주의를 기울이기를 요청하고 있으며, 정교하고 적절하게 교육을 받게 해 안전한 사용자로 발전하고 있다.

이러한 상황에서 공격 대상이 바뀌고 있다. 사람들은 소셜 미디어 연락처를 더 신뢰하는 경향이 있기 때문에 사이버 공격자들은 이 부분을 집중 공격했다. 연방 통상 위원회(Federal Trade Commission)는 2020년 초 시점에 소셜 미디어에서 시작된 사기가 급증했다고 경고했다. 사용자도 일자리를 찾을 때 이러한 플랫폼에 적극적으로 참여하고 있다. 소셜미디어는 주요 관련 업계 소식, 채용 등에 대한 정보를 제공하기 때문에 클릭하지 말아야 할 항목임을 알면서도 클릭할 가능성이 더 높다.

최근 공격 양상은 링크드인(LinkedIn)의 메시징 기능과 함께 스피어 피싱을 활용하고 있다. 이러한 공격자는 악성 링크를 이용한 가짜 채용 기회로 사용자를 유인했다. 공격자가 대상의 컴퓨터 또는 장치를 완벽하게 제어할 수 있는 멀웨어로 엔드포인트를 손상시키도록 설계됐다. 공격자는 사용자가 신뢰하는 브랜드의 사칭 웹사이트를 사용해 점점 더 지능적으로, 그리고 개인적으로 공격하고 있다.

이러한 공격은 웹 브라우저를 공격해 기업이 보유하고 있는 기존의 모든 이메일 보안 방어 체계를 우회한다.

기존의 악성 링크 분석 엔진 우회

위협 행위자는 기존 악성 링크 분석 엔진을 우회하는 HEAT 공격을 활용하고 있다. 그들은 일반적으로 이메일을 보호하기 위해 배포되는 악성 링크 분석 엔진을 회피하고 있다. 이 엔진은 사용자에게 전달하기 전에 모든 링크를 분석해 전달한다.

하지만 링크 분석 엔진을 우회하도록 설계된 HEAT 공격은 사용자들의 소셜 미디어 사이트 및 메시징 플랫폼, 디스코드(Discord) 또는 슬랙, SMS 등과 같은 다른 커뮤니케이션 플랫폼 영역들까지 공격 대상으로 한다.

이러한 링크를 클릭했을 때는 일반적인 이메일 피싱에 사용되는 링크와 동일하게, 즉 로그인 자격 증명을 훔치거나 멀웨어를 배포하도록 설계된 것을 알 수 있다.

공격자는 또한 링크드인의 정보와 사용자가 페이스북, 트위터에 게시한 내용을 활용해 대상 피해자와 연결하고 시간이 지남에 따라 관계를 구축하는 데 사용할 수 있는 특별한 지식을 얻을 수 있다. 공격은 빠르고 개인화될 수 있기 때문에 효과적이며, 사용자와 더 밀접하게 연결된 것처럼 보인다.

HEAT 전술을 보강함으로써 디지털 약탈자들은 보안 웹 게이트웨이 및 이메일 모니터링 엔진과 같은 기존 보안 제어 및 기술을 성공적으로 우회할 가능성을 높인다.

물론 현재까지는 이메일이 주요 공격 벡터로 남아 있지만 악성 링크 분석과 같은 기존 방어 수단을 우회하도록 설계된 이러한 HEAT 공격이 증가하고 있다. HEAT를 식힐 방법을 찾기 위해 모두 웹에 있는 공격 벡터를 살펴보지 않는 기업은 이러한 위험한 링크 위협을 계속 받게 될 것이다.