Live Your Best Life !!!

이번 원고에는 피싱메일 대처 및 수신 대상이 될 가능성을 낮추는 방법에 대하여 알아보도록 하자.

최근 유머 글들 중에 보이스피싱, 메신저피싱에 대하여 성공적으로 대응한 분들의 글이 자주 올라오고 있다. 이 글들을 보면서 ‘이렇게 허술하게 속이려 하니 피해를 입기 전에 알아차리지’ 하며 안심을 하지만 실제 이러한 일들이 자신에게 닥쳤을 경우 이를 간파하고 대비할 수 있는 사람은 그리 많지 않을 것이라 생각한다.

지난회 ‘피싱메일 분석편’ 에 기술되었던 내용을 토대로 공격자(피싱사기 가해자)가 피싱사기 피해자를 어떻게 물색하고 금전적 피해를 입힐 수 있는지 예제를 통해 알아보고 피싱의 각 단계별 사용자의 대처법을 찾아본다.

* 본 예제는 필자의 이메일 주소로 검색하여 얻은 결과로 만든 가상의 시나리오임을 밝혀둔다.

시나리오 1. 희생양을 찾는다.

스팸메일에 사용되는 도구중 ‘e-mail 주소 자동추출 프로그램’이라는 툴이 사용되곤 한다. 이 툴은 웹페이지를 검색하여 e-mail들을 추출하는 프로그램으로 ‘웹크롤러’의 기능을 응용한 것 이다. 이를 통해 추출된 메일 주소중 shXXX0@XXmail.com을 발견하였다. 해당 이메일 주소를 한 포털의 검색어 창에 입력하자 다음과 같은 결과를 얻을 수 있었다.

[그림1 특정 e-mail 주소를 검색한 결과]

해당 이메일 주소의 사용자는 XX정보통신의 제품을 사용하고 있고 다음의 정보가 검색된 것을 볼 수 있다. 
(검색된 결과: 실명, 핸드폰번호, 구매한 제품명, 제품의 일련번호)

피싱 예방수칙 1
개인정보가 제공된 곳이 많아질수록 피싱공격에 노출될 가능성이 높아진다. 불필요한 이벤트에 참여하여 중요한 개인정보를 흘리지 않아야 한다.

피싱 예방수칙 2
일정주기로 자신의 이름, 개인정보의 일부를 검색엔진에서 검색어로 사용하여 취약한 서비스업체를 통한 정보의 유출이 이루어졌는지 확인한다. 단 검색어로 너무 많은 정보를 입력할 경우 역효과가 발생할 수 있음을 주의 해야 한다. (검색엔진은 해당 키워드를 찾기 위해 열심히 동작하여 그 동안 발견되지 않았던 정보들까지 검색엔진이 보유하게 될 수도 있다.)

공격자는 한 고객의 중요정보를 얻을 수 있었다. 과연 취약한 서비스업체에서 1명의 정보만 얻을 수 있을까?
해당 검색결과를 통하여 다음의 결과를 얻을 수 있었다.
 

[그림 2 검색결과 발견된 고객정보]

* 게시판에 글을 등록 시 수정/삭제를 위한 비밀번호를 입력 받지 않는 서비스의 경우 주의해야 한다. 공개/비공개 선택을 지원하지 않는 게시판의 경우 개인정보가 검색될 가능성이 높다.
 

[그림 3 목록보기를 통하여 다른 고객의 정보확인이 가능한 경우]

아직도 이렇게 허술한 서비스가 있을까 부정할 수도 있겠지만 모든 서비스는 업그레이드를 하며 동시에 새로운 취약점도 업그레이드 된다.

피싱 예방수칙 3
개인정보를 등록하는 서비스를 이용할 때 주의해야 한다. 웹페이지 및 게시판등의 모든 서비스는 기능개선을 하게 된다. 하지만 소프트웨어로 구성된 이러한 서비스는 취약점이 존재하며 업그레이드를 하면서 새로운 취약점이 발생할 수 있다. 이러한 ‘창과 방패’의 경쟁은 계속된다. 소프트웨어와 서비스의 발전과 취약점도 함께 발전하게 됨을 명심해야 한다. 또한 암호도 유출될 가능성이 있으므로 일반적인 목적의 암호와 금융거래를 위한 암호를 다르게 설정하는 습관이 필요하다.

시나리오 2. 미끼를 만든다.

위의 ‘시나리오 1’을 통하여 공격자는 1,500여명의 개인정보를 취합할 수 있었다. 해당 고객들은 특정회사의 제품을 사용하고 있으므로 다음과 같은 메일을 발송하게 되면 피싱에 걸려들 가능성이 높다.
 

[표 1 공격에 사용할 조작된 메일의 구성]
 

[그림 4 공격에 사용할 조작된 메일의 예]

시나리오 3. 미끼를 문다.

위 메일을 받은 수신자는 본인이 사용하고 있는 제품을 판매하는 회사에서 하는 행사로 생각할 가능성이 높다. 또한 해당제품의 구매를 신청하기 전 메일에 기재된 곳에 연락해보거나 구매 신청 후 송금 전에 구매접수가 되었다며 해당사를 사칭한 전화가 오게 될 경우 더욱 신뢰할 가능성이 높아지게 된다. 
 

[그림 5 메일을 통해 구매확정 페이지에 접속한 경우와 안티피싱 보안제품을 통해 차단된 경우]

위 예제에 사용된 피싱페이지는 계좌이체를 통하여 입금을 요구하고 있다. 이는 해당 입금 계좌가 속칭 ‘대포통장’으로 공격자는 즉시 인출 후 도주하기 위한 목적이 있기 때문이다.

이를 통하여 채집된 수신자 1,500명중 10%만이라도 조작된 페이지에 기재된 계좌번호를 통해 입금할 경우 공격자는 ‘150명 X 40만원 = 6,000만원’의 부당이익을 취할 수 있으며 피해자는 자신의 의지로 송금을 했으며 입금 계좌 또한 추적이 어려운 상황이므로 구제를 받기 어려운 상황에 처하게 된다.

피싱 예방수칙 4
구매/송금등 금융거래에 관련된 메일은 참고로만 읽고 인터넷 주소를 직접 입력하여 접속 하도록 한다. 피싱메일 및 피싱사이트는 외관상으로는 조작여부를 판단하기 어렵기 때문이다.

피싱 예방수칙 5
그림5의 우측은 안티피싱 보안제품이 설치되어 있는 PC에서 해당 메일의 ‘구매’ 버튼을 누른 경우로 피싱페이지로의 연결이 차단되는 것을 볼 수 있다. 무료로 제공되는 보안제품도 있으므로 적극 활용하도록 하자.

[피싱정보 및 대처방법을 제공하는 기관/업체]

http://www.krcert.or.kr : [인터넷 침해사고 대응지원센터] 피싱사고, 해킹사고, 보안 취약점등 신고
http://www.boho.or.kr : [보호나라] 개인이용자 대상 정보보호 포털사이트 (전화 118)
http://www.netan.go.kr: [경찰청 사이버테러대응센터] 사이버범죄 수사 관련 상담 및 신고 (전화 02-3939-112)
http://www.antiphishing.org: 국제 안티피싱 그룹, 최신 피싱동향 및 안티피싱 정책에 대한 정보제공/교류
http://www.siteguard.co.kr: 안철수연구소에서 제공하는 무료 인터넷보안 프로그램

새로운 악성코드 제작자들

1995년 윈도우 95의 등장을 시작으로 인터넷 사용이 대중화되면서 컴퓨터 사용 환경은 일대 혁명을 겪게 된다. 윤리의식이 다소 부족한 10 대의 장난으로 여겨지던 악성코드 제작 시장에 악성코드가 돈벌이가 된다는 새로운 사실에 눈을 뜬 사람들이 유입되면서 예전과는 다른 양상으로 발전하게 된다. 이 글에서는 새롭게 등장한 악성코드 제작자들에 대해서 알아보겠다.

시간이 지나도 바이러스, 웜, 트로이목마로 대표되는 악성코드 증가는 멈추지 않고 있다. 전통적인 바이러스는 주춤하며 웜, 트로이목마의 증가세가 폭발적이다. 이외 사용 목적에 따라 악의적으로 사용될 수 있는 프로그램과 애드웨어로 불리는 악성코드는 아니지만 사용자를 괴롭히는 프로그램이 등장하면서 백신은 더 이상 단순한 바이러스 진단/치료 프로그램 이상이 요구되고 있다. 악성코드는 네트워크, 취약점 등을 이용해 백신의 전통적인 파일 검사법으로 막기는 힘든 상황이 되었으며 최근 네트워크 장비 회사와 백신 업체들이 손을 잡고 있는 것도 이런 한계점 때문이다. 증가하는 악성코드 수만큼 악성코드 제작자들의 수와 유형도 증가하고 있다. 전통 바이러스 제작자들은 재미나 바이러스가 퍼지는데 얻는 영향력 만끽 등의 이유로 바이러스를 제작해 왔다. 하지만, 최근 악성코드 제작에는 전통적인 바이러스 제작자 외 해커, 인터넷 광고 업자 등이 가세했다. 여기에는 악성코드 제작이 이제 돈과 연관되었기 때문이다.

1) 금전 추구 악성코드 제작자

관심과 재미로 악성코드를 제작하는 유형과 다르게 이들은 악성코드를 통해 금전적 이득을 얻는다. 우선 전문 악성코드 제작자들은 악성코드 제작 도구 혹은 소스코드를 악성코드를 필요로 하는 사람들에게 판매한다.

이들이 주로 제작하는 자신들이 조정하는 봇을 통해 봇넷을 구성하는 악성코드나 스팸메일 발송 기능을 가지거나 온라인 게임 계정 혹은 인터넷 뱅킹 계정을 탈취하는 악성코드 들이다. 전문적으로 악성코드 제작 및 판매가 성행하는 곳은 중국과 러시아로 알려져 있다.

2) 해커

개인용 컴퓨터가 인터넷과 연결되기 시작한 1990년대 중반까지만 해도 바이러스와 해킹은 서로 다른 분야 라고 볼 수 있다. 바이러스 제작자들은 바이러스 제작을 통해 자신의 능력 확인하거나 자신의 바이러스가 널리 퍼지는데 만족했으며 해커들은 무언가 숨겨진 비밀을 밝히는데 흥미를 느꼈다. 또한 바이러스 제작자들의 주 목표인 개인용 컴퓨터는 기본적으로 독립적이며 이들 자료가 전달되기 위해서는 플로피 디스크 등의 저장매체가 필요해서 바이러스들도 플로피 디스크의 부트 섹터를 감염시키거나 실행 파일을 많이 감염시켜 다른 컴퓨터로 전파되는 기회를 가지려고 노력했다. 이에 비해 해킹은 상대적으로 수가 적은 서버 급 시스템의 취약점을 이용해 관리자(루트) 권한을 얻어내기 위해 노력했다. 따라서, 원래 해커와 악성코드 제작자는 다른 진영의 사람들이며 서로 협력보다는 서로 경쟁적이고 비판적인 관계에 있었다. 하지만, 인터넷이 대중화된 1990년대 후반 바이러스 제작자들은 어렵게 바이러스를 만드는 것 보다 메일이나 네트워크로 전파되는 웜 제작에 눈을 돌리게 되고 해커 중 일부가 관리가 비교적 잘되고 있는 서버보다 개인용 컴퓨터를 공략하게 된다. 특히 개인용 컴퓨터는 서버에 비해 관리가 소홀해 해킹이 쉬우며 개인용 컴퓨터의 성능 발달로 여러 대의 컴퓨터를 이용해 다른 시스템 등을 공격하는데도 효과적으로 이용할 수 있게 되었다. 상당수 악성코드 제작자들은 인터넷에 공개된 공격 툴의 소스를 이용하거나 개선해 자신의 프로그램을 퍼뜨리고 있다. 현재 취약점을 이용해 전파되는 웜은 과거 해커 들이 사용하던 취약점 공격 툴의 자동화 버전으로 볼 수 있다.

최근에는 해커가 취약점을 발견하면 이를 이용해 악성코드를 제작하는 등 현재 악성코드 제작자와 해커는 협력 관계에 있다. 일부 해커들은 공개되지 않은 취약점을 발견해 이를 악성코드 제작자들에게 판매해 금전적 이득을 벌어들이는 것으로 알려져 있다.

3) 소프트웨어 업체

과거 악성코드 제작이 주로 개인이나 바이러스 제작 그룹에서 이뤄졌는데 현재 기업 형태의 악성코드 제작자들이 존재한다. 흔히 광고 목적의 애드웨어나 보안 위험이 낮거나 불필요한 것을 진단해 요금을 청구하는 허위 보안 프로그램들을 제작하는 업체들이다. 이들은 인터넷 광고 업체나 보안 업체로 부르기 민망한 보안 업체이며 이들 프로그램은 합법적이라 법적으로는 처벌 하기는 힘들다.

애드웨어는 2003년부터 본격적으로 퍼지기 시작했는데 Win-Trojan/SystEntry.32768.B 와 Win-Trojan/Hotra.49152  처럼 애드웨어가 단순히 특정 홈페이지를 고정하고 성인 사이트 광고 창을 띄우는 것 외에 시스템 부팅이 안 되는 등의 치명적인 문제를 줄 수 있음을 알 수 있다. 2003년 발견된 MSN 메신저로 전파되는 스미백 웜(Win32/Smibag.worm.163840) 은 내부에 성인 사이트의 주소를 포함하고 있어 감염된 시스템에서 성인 사이트 광고 기능을 하기 위해 제작된 것으로 추정되며 2003년 가장 널리 퍼진 악성코드로 기록된 Win32/Sobig.worm.F 도 스팸 메일 발송이 목적이라는 주장이 제기되었다. 2004년 이후 발견된 상당수 악성코드들은 스팸 메일 발송이나 애드웨어 설치 등으로 금전적 이득을 얻을 수 있는 유형이 많다.

인터넷 광고 업자들의 애드웨어 제작은 단순히 흥미와 장난기와 달리 돈이 목적으로 전문 개발자가 개발하거나 집요하게 변형을 만들어 퍼뜨리고 있다. 또 자신 사용자가 인지 못하는 동의 절차를 통해 자신들의 프로그램이 합법적이라고 주장하며 백신 업체들에 소송을 벌이기도 한다. 이들 중 일부 업체는 법망을 교묘히 피해가는 프로그램이 아닌 악성코드를 제작해 퍼뜨리고 있다.

4) 범죄 단체

현재까지 유명 범죄 조직이 악성코드 제작에 직접 관여되었다는 증거는 없다. 하지만, 악성코드 제작 목적이 금전적 이득 목적으로 바뀌면서 점차 범죄 단체 성격을 가지고 있다. 이들은 스팸 메일 발송, 온라인 게임 계정/인터넷 뱅킹 계정/신용 카드 번호 등의 개인 정보를 탈취하거나 특정 사이트를 공격할 수 있는 봇넷을 구축해 돈을 벌고 있다.

미연방 수사국(FBI)에 의해 수배중인 사이버 범죄자들이 존재하며 이들이 범죄 단체와 연관될 가능성도 있다.

그림 1 FBI에 수배중인 사이버 범죄자들

5) 산업 스파이, 정보 기관 및 군

주요한 자료가 컴퓨터에 저장되면서 누군가의 컴퓨터에 몰래 백도어를 숨겨두고 정보를 빼가려는 사람들이 악성코드를 이용하기 시작한다. 이들은 산업 스파이가 될 수도 있으며 각국 정보 기관이나 군이 될 수 있다.

2005년 이스라엘에서 주요 기업 고위 경영자들의 컴퓨터에 트로이목마를 보낸 산업스파이 행위가 적발되었다. 

수사 기관에서도 악성코드를 수사에 이용하려는 시도가 있다. 2001년 미연방수사국(FBI)은 범죄 용의자의 컴퓨터에서 증거를 수집하기 위한 마법램프(Magic Lantern) 프로젝트를 진행 한 것으로 알려져 있다. 영국에서도 영국 경찰이 법원 영장 없이 수상한 사람의 시스템에 키로거 등을 설치해 의심스러운 행동을 감시하려는 법안 논쟁이 있었다.

정보 기관이나 군에서도 상대의 정보를 빼내기 위해 악성코드를 연구하고 있다는 소문이 있다.

정보를 빼내가기 위해 제작된 악성코드는 일반인 대상이 아닌 특정 목표나 특정인을 정해 제작되고 은밀하게 배포되므로 백신 업체로 신고가 늦게 되는 경우도 종종 있다.

6) 기타

이외 여러 가지 목적으로 악성코드를 제작하는 이들이 있다. 악성코드를 연구한다는 목적으로 악성코드를 제작하는 이도 있을 것이며 일부 와레즈 사이트 운영자가 악성코드를 이용해 사용자의 컴퓨터를 와레즈 사이트로 운영할 수도 있다. 사용자의 컴퓨터를 감염 시킨 후 해당 시스템을 와레즈 서버로 이용하는 방식이다. 와레즈의 특성상 같은 장소에 오래 존재할 수 없지만 다수의 감염된 시스템을 이용하면 추적도 받지 않고 효율적으로 자료를 공유할 수 있는 것으로 보인다.

결론

1980년 대 중반 이후 피해가 본격화된 악성코드는 초기 제작자들이 개인적 호기심이나 장난으로 제작했다. 하지만, 2003년을 기점으로 악성코드 제작 동기가 금전적 이득으로 바뀌면서 전문 개발자와 성인이 참가하기 시작하고 산업스파이, 수사 기관, 정보 기관 등에서 악성코드를 자신들의 목적에 이용하기 위한 노력을 하고 있다. 이미 악성코드 제작은 10대들의 장난 수준을 넘어섰지만 이들을 규제할 법률은 아직 미흡하다.

참고 자료
[1] Alan Solomon, ‘The computer virus underground’, Virus Bulletin Conference, September  1994
[2] Mikko Hupponen, ‘Latest Virus Research’, AVAR Conference 2004
[3] Sarah Gordon, ‘The generic virus writer’, Virus Bulletin Conference, September 1994
[4] Sarah Gordon, ‘Virus Writers – Part 1’, Virus Bulletin, May 1999, pp.8-9
[5] Sarah Gordon, ‘Virus Writers - Part 2’, Virus Bulletin, June 1999, p.12
[6] Sarah Gordon, ‘Virus Writers – Part 3’, Virus Bulletin, July 1999, pp.14-17
[7] Berni Dwan, ‘Script Kiddies’, Virus Bulletin, July 2001, pp.12 – 13
[8] Stuart Taylor, ‘Misguided or malevolent? New trends in virus writing’, Virus Bulletin, Febuary 2004, pp.11-12
[9] Eugene Kaspersky, ‘Computer Viruses – what are they and how to fight them?’
[10] 김홍선, ‘창과 뱅패의 싸움 – 위협의 동향과 특성(1): 행동 형태’, http://column.inews24.com/php/news_view.php?g_serial=404302&g_menu=042104
[11] http://www.fbi.gov/wanted/fugitives/cyber/fug_cyber.htm