침해사고/위협동향

소비자 불만이 접수됐다?…미 공정거래협회로 위장한 스팸메일 활개

이민형 기자
- 클라우드 기반의 휴리스틱 탐지 및 평판 보안 기술 도입 필요

[디지털데일리 이민형기자] 최근 미국 공정거래협회(Better Business Bureau)를 사칭한 메일이 급증해 기업들의 주의가 요구된다. 해당 메일 첨부파일에 숨어있는 악성코드는 기존 시그니처 기반의 보안 탐지 방식으로는 탐지하기 매우 어려워 기업들이 큰 피해를 입을 수도 있다.

20일 시만텍은  ‘시만텍 인텔리전스 리포트(Symantec Intelligence Report)’ 2월호를 통해 미 공정거래협회(Better Business Bureau)를 사칭한 신종 사이버 공격들이 잇따르고 있어 주의가 요구된다고 밝혔다.

공격자들은 기업들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위조해 해당 기업을 상대로 소비자 불만이 접수됐으며, 보다 자세한 정보는 첨부파일을 참조하라고 사회공학적 공격기법을 접목한 이메일을 보낸다.

하지만 첨부된 PDF 파일에는 악성 실행파일이 심어져 있거나 악의적 웹사이트로의 방문을 유도하는 URL이 포함돼 있다.

이러한 공격들은 2007년 처음 보고된 공격방식과 유사하다. 당시에도 공격자들은 기업 임원들을 겨냥해 미 공정거래협회에서 보낸 것처럼 위장한 이메일을 발송했다. 최근 공격방식도 2007년 당시처럼 사회 공학적 기법을 이용하고 있다는 점에서 유사하지만 서버측 다형성(Polymorphism) 공격과 같은 보다 진일보한 공격 기법이 동원되고 있어 탐지가 더욱 어렵다.

서버측 다형성 공격을 통해 공격자들은 매번 기존 유형과 조금씩 다른 형태로 공격, 기존 보안 시스템의 탐지를 회피하며, 주로 PHP 스크립트를 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성한다.

시만텍은 이전에 알려지지 않은 신종 위협에 신속히 대응할 수 있는 클라우드 기반의 휴리스틱 탐지 기법인 ‘스켑틱(Skeptic)’ 기술을 통해 다형성 악성코드 변종을 매우 효과적으로 탐지하고 있고, 거의 매일 시만텍의 닷클라우드 이메일 서비스를 통해 필터링하고 있다.

하지만 공격자들도 공격 성공률을 높이기 위해 공격전술과 사회 공학적 기법을 수시로 바꾸고 있는 상황이다. 최근 발생한 대표적인 공격사건 가운데는 페덱스, UPS, DHL, 아메리칸 항공 등 잘 알려진 기업을 사칭한 이메일 공격이 포함돼 있다.

윤광택 시만텍코리아 이사는 “다형성은 말 그대로 매번 기존 위협과 조금씩 다르게 형태를 바꾸는 것으로, 이를 이용해 공격자들은 쉽게 보안 탐지를 피할 수 있다”며 “전통적인 보안 시스템의 부족한 부분을 채워줄 수 있는 클라우드 기반의 휴리스틱 탐지기법 및 평판 보안 기술과 같은 상호보완적 기술을 도입할 필요가 있다”고 강조했다.

‘시만텍 인텔리전스 리포트’ 2012년 2월호 전문은 시만텍클라우드 사이트(www.symanteccloud.com)에서 내려받을 수 있다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널