올해 공공기관 및 기업들은 기하급수적으로 늘어난 사이버 공격으로 갖은 고초를 겪었다. 눈에 띄는 변화는 바로 범죄의 서비스형 소프트웨어(SaaS)화다. 전문지식이 없어도 돈을 지불하고 범죄형 SaaS를 구매해 간편하게 사이버 공격을 수행할 수 있게 된 것이다.

이같은 흐름은 랜섬웨어를 거쳐 피싱공격에 접목되고 있다. 이른바 '서비스형 피싱(PhaaS)'이다. 최근 사회공학적 기법을 사용한 타깃형 공격이 늘어나고 있는 배경에도 이같은 변화가 깔려있는 것으로 나타났다. 실제로 보안을 강조한 가상자산 지갑 서비스를 준비 중인 '안랩블록체인컴퍼니(ABC)' 관계자도 이같은 메일을 받은 것으로 나타났다.

2023년 'PhaaS'로 진화한 피싱 공격이 온다

피싱 공격은 이메일이나 SMS 문자 등을 통해 사용자 정보를 탈취하는 기법이다. 신뢰할 수 있는 사람이나 기업에서 보낸 것처럼 위장한 메시지를 보내 첨부파일 및 사이트 접속, 정보 입력 등을 유도하는 방식이다. 

그간 전통적 기법으로 여겨졌던 피싱 공격은 최근 다크웹 등 음지에서 진화의 조짐을 보이고 있다. 사실 PhaaS는 이전에 없었던 전혀 새로운 개념은 아니다. 클라우드로 디지털 인프라가 옮겨갔던 지난 2016년, 이미 업계에서는 이같은 현상을 목격하고 경고한 바 있다.

그러나 최근 다크웹에서 탐지된 사례는 보다 더 분업화, 정교화된 형태다. '카페인(Caffeine)'이라는 피싱 판매 사이트가 등장했을 뿐만 아니라 공격 맞춤형 피싱사이트 제작, 인공지능(AI) 기술을 활용한 스팸 메일 필터링 우회 등 기법 등이 발견되고 있기 때문이다. 카페인의 등장이 갖는 가장 큰 문제점은 다크웹을 넘어 일반 검색엔진을 통해서도 쉽게 접근이 가능하다는 점이다.

이는 사이버 범죄 자체가 일종이 '산업화'를 이뤘다는 의미다. 즉, 악성 프로그램 및 인프라를 제작해 판매하고, 이를 구매하는 일종의 공유 경제 체계가 갖춰지며 누구나 마음만 먹으면 공격을 단행할 수 있는 환경이 도래했다느 뜻이다. 특히 최근에는 프로그램 및 인프라 제작자로부터 도매 형태로 프로그램을 구매해 소매로 다른 범죄자에 팔아넘기는 방식도 나타나고 있다. 인프라의 경우 공격자가 무엇을 담느냐에 따라 랜섬웨어, 백도어, 디도스 등 다양한 방식으로 활용할 수 있어 공격 추적·분석이 어려워진다.

이에 더해 과거 첨부파일이나 인터넷주소(URL)을 클릭해야만 악성코드에 감염됐던 반면, 최근에는 문자나 이메일을 읽기만 해도 감염이 되는 '제로클릭' 공격이 성행하고 있다. 전세계 최대 포털 사이트를 운영하며 각종 보안 조치를 취하는 구글조차 현재로써는 이에 대한 보안 대책이 없다고 밝혀 대응을 위해서는 사용자 주의가 무엇보다 중요한 대목이다.

이에 따라 방어자와 공격자 간 전력 차이도 뒤바뀌게 됐다. 보안업계는 그간 공격자에 비해 더 많은 방어 전력을 보유하고 있다고 판단해왔으나 이같은 현상이 발생함에 따라 수적 열세에 내몰리게 됐다. 

보안업계 관계자는 "특정 표적을 노리거나 개별 서비스를 사칭하는 피싱 사이트를 맞춤형으로 제작해주는 수법도 나타나고 있어 범죄 장벽이 현저히 낮아지고 있다"며 "AI 기술을 접목해 스팸 메일 필터링을 우회하는 기법도 나타나고 있어 방어와 대응을 위해 체계적 대책이 필요한 시점"이라고 지적했다.

블록체인 업계도 예외 아니야

이같은 피싱 공격은 블록체인 업계에서도 나타나고 있다. 보안성을 강조한 가상자산 지갑 서비스를 개발·운영 중인 안랩블록체인컴퍼니 관계자는 최근 사회공학적 기법을 활용한 피싱메일을 받았다.

해당 사례는 사회관계망서비스(SNS) 링크드인을 시작으로 네이버 메일 주소 공유를 유도, 이후 피싱 메일을 보내는 방식이다. 또 국내 1위 가상자산 거래소 업비트를 사칭한 공격도 시도됐다.

지난 16일 잭슨 안랩블록체인컴퍼니 프로덕트오너(PO)는 "최근 링크드인을 통해 1촌 신청을 받았는데, 블록체인 업계에 계신 몇몇 분과 이미 1촌 관계라 의심없이 수락했다"고 설명했다. 

신청을 한 인물이 "블록체인개발관련문의사항을 드려도 괜찬을까요? 메일연락처를 남겨주시면 감사하겠습니다."라는 쪽지를 보내와 답변을 했으나 메일 발송이 실패했다는 이유로 네이버 메일 주소 공유를 유도한 것으로 알려졌다.

이후 잭슨 PO는 '[주의] 회원님의 계정이 이용 제한 되었습니다.'라는 제목의 이메일을 받았다. 보낸 사람 이름은 '네이버 보안'이었으나, 메일 주소 도메인이 'qmail'이었다. 메일 내용은 실제 네이버에 보낸 메일처럼 꾸며졌고, 하단에 위치한 '제한 해제하기'를 누르면 가자 포털 로그인 페이지로 연결, 입력한 비밀번호를 공격자가 탈취하는 방식이다.

업비트를 사칭한 피싱 메일도 잇따라 수신됐다. 잭슨 PO가 공개한 이미지를 살펴보면 해당 이메일은 'OTP 초기화 요청 안내'라는 제목이다. 내용에는 "회원님 안녕하세요. 방금 회원님 업비트 계정에서 폰 교체에 의한 OTP 초기화 요청이 확인됐습니다. 요청된 회원님 신분증 사진을 보내드리니 확인해주시기 바랍니다"라며 "혹시 본인이 직접 요청한 것이 아닐 경우, 즉시 삭제해 주시기 바랍니다. 본인이 맞는 경우 고객센터로 연락 부탁드립니다."라고 안내하고 있다.

이와 함께 해당 메일에는 신분증 사진을 보낸 듯한 첨부파일이 존재하는데 이는 가짜인 것으로 분석됐다. 잭슨 PO는 "거래소 OTP 초기화 요청에 따라 신분증 사진을 메일에 첨부한 것처럼 보이지만, 해당 파일은 마크업으로 만든 가짜 첨부파일"이라며 "클릭 시 가짜 거래소 페이지가 보이게 된다면 많은 분들이 속을 수 있다"고 경고했다.

이어 그는 "이런 다양하고 정교한 공격들은 해킹이 곧 금전적 이득으로 연결될 수 있는 웹 3.0 환경에서 계속 시도될 것으로 예상된다"고 부연했다.

보안 DNA 심은 'ABC 월렛' 다음주 출격

끝으로 그는 "안랩블록체인컴퍼니에서 개발한 'ABC 월렛'은 다자간 컴퓨팅 기술(MPC, Multi party Computation)' 기술을 활용해 니모닉이 존재하지 않아 탈취가 불가능하다"며 "또 여러 다양한 보안 기술이 보함돼있어 안전한 가상자산 거래를 보장한다"고 강조했다.

ABC 월렛 모바일 버전은 다음 주 중 출시될 예정이다. 앞서 안랩블록체인컴퍼니는 크롬 확장 프로그램용 베타버전을 출시한 바 있다. 이 서비스는 자체적 보안 기술로 개인키 탈취, 해킹 공격 등을 사용자가 걱정할 필요가 없는 점이 특징이다. 메인넷은 ▲이더리움 ▲클레이튼 ▲바이낸스 ▲폴리곤 등 총 4종을 지원한다.

안랩블록체인컴퍼니 관계자는 "크롬 확장 프로그램용 베타 버전에 이어 다음 주 중 모바일 버전 출시가 예정돼있다"며 "현재 프로그램 개발 작업을 마친 후 연내 출시를 위한 시점을 내부에서 논의 중인 상황"이라고 말했다.

김가은 기자 7rsilver@techm.kr