여전히 피싱을 당하는 이유와 그 대응 방안
피싱의 빈도와 정교함의 증가는 팬데믹이 초래한 수많은 문제 중 하나입니다. 이는 사실 놀라운 일은 아닙니다. 뉴 노멀 시대에 적응 중인, 점점 늘어나고 있는 재택근무 집단이 최적의 공격 대상이 되었습니다.
피싱의 핵심은 표면적으로는 별문제 없어 보이는 것으로 유혹하여, 사용자가 클릭하면 안 되는 것을 클릭하도록 하는 것입니다. 재택근무 환경의 스트레스, 불안 및 계속되는 문제 등의 변화에 적응해 나가는 과정에서 피싱은 점점 더 많은 사람들을 유혹하고 있습니다.
피싱은 더 이상 새로운 문제가 아니며, 팬데믹에서 시작한 것도 결코 아닙니다. 이는 IT가 수년간 해결하고자 노력해 온 과제입니다. 하지만 모든 규모의 조직이 다양한 이유로 여전히 피싱을 당하고 있습니다. 이제 여기서 벗어나야 할 때입니다. 리스크를 줄이는 데 도움이 되는 선제적 프로세스, 제어 및 기술이 있으니까요.
왜 기존의 웹 보안은 최신 피싱에 효과적이지 못할까요?
최근 몇 년 동안 피싱은 계속 진화해 왔습니다. 피싱에 어느 정도 효과적이었던 엔터프라이즈 보안 제어는 이메일 보안 또는 웹 보안 관점에서 볼 때 더 이상 효과적이지 않습니다.
사실, 당사 연구 결과에 따르면 현재 피싱 키트의 최대 90%에 기존의 웹 보안을 무력화하는 회피 기술이 내장된 것으로 나타났습니다. 피싱 키트는 탐지를 회피하는 상용 기능으로 공격자에게 서비스형 피싱을 효과적으로 제공합니다.
기존의 웹 보안은 피싱 사이트를 포함한 악성 웹사이트를 식별하고 액세스를 차단하는 데 URL 데이터베이스 사용에 오랫동안 의존했습니다. 악성 URL 데이터베이스가 작동하는 방식은 공급업체가 웹 크롤러를 사용해 사이트를 스캔한 후 피싱 사이트를 데이터베이스에 추가하는 방식입니다. 피싱 키트 운영자도 이 점을 알고 있으며, 웹 크롤러를 어떻게 피하는지 알고 있기 때문에 악성 주소가 데이터베이스에 표시되지 않도록 할 수 있는 것입니다.
최신 피싱 공격은 구축된 탐지 기술을 작동시킬 수 있는 멀웨어를 사용하지 않는 경우도 많습니다. 오늘날의 피싱은 은밀하며, 기존의 웹 보안 스캔을 피하고자 다양한 난독화 기술을 사용합니다.
피싱을 잡아내기 어려운 이유: 매우 다양한 형태의 피싱 공격 존재
피싱 공격은 기존 웹 필터링 데이터베이스의 보안 검사를 어떻게 피하는 걸까요? 예를 들면 다음과 같습니다.
클로킹을 통한 악성 콘텐츠 숨기기
보안 웹 크롤러는 실시간 웹 트래픽을 분석하지 않습니다. 대신, 보안 공급업체가 사용한다고 알려진 IP 공간에서 웹페이지를 분석하도록 전송됩니다. 공격자가 이를 알고 있기 때문에, 피싱 키트는 보안 공급업체 스캔에 대응하여 양성 콘텐츠 또는 빈 페이지를 보내 악의를 숨기도록 설계되었습니다. 이는 URL 데이터베이스가 피싱 페이지를 양성으로 분류하고 보안 검사를 통과시키도록 유도합니다 표적이 피싱 페이지에 액세스하면 실제 콘텐츠가 드러나고 공격의 희생양이 됩니다.
다단계 공격과 CAPTCHA 인증 절차
URL의 초기 보안 스캔을 통과하기 위해 피싱 공격이 양성 단계 뒤에 숨는 경우가 늘어나고 있습니다. 예를 들어, CAPTCHA 인증 절차 뒤에 피싱 페이지를 배치할 수 있습니다. 이는 특히 찾아내기 어렵습니다. CAPTCHA 인증 절차는 웹 크롤러를 포함한 자동화된 봇이 뒤에 있는 콘텐츠에 액세스하지 못하도록 특별히 설계되었기 때문입니다. 웹 크롤러가 이 페이지를 스캔하면 그 자체로는 무해한 CAPTCHA 인증 절차만 확인하며, 뒤에 있는 피싱 페이지를 양성으로 분류합니다.
수명이 짧은 일회용 링크
공격자는 지금까지 보지 못한 피싱 URL을 대량으로 생성하고 있습니다. 그 이유는 이러한 작업이 그 어느 때보다 쉽고 저렴하기 때문입니다. 단일 피싱 페이지는 단 몇 시간 또는 몇 분간 사용된 후 소멸되고 새로운 URL로 전환되므로 보안 데이터베이스가 이를 신속하게 추적하여 차단하기에 역부족입니다. 일회용 링크는 또한 표적 공격에 흔히 사용되어 하나의 임무를 달성하고 나면 다시 사용되지 않습니다.
침해된 웹사이트 내 공격
공격자는 합법적인 웹사이트가 URL 데이터베이스에서 양성으로 분류되어 재검사를 거치지 않고도 허용된다는 것을 알고 있습니다. 공격자가 합법적인 웹사이트를 침해할 수 있는 경우, 그 안에 피싱 페이지를 만들고 위장하여 웹 보안을 유유히 통과할 수 있습니다. 이러한 유형의 피싱 페이지는 알려진 웹사이트와 상호작용하고 있다고 믿는 최종 사용자를 더 쉽게 속일 수 있기 때문에 특히 성공적입니다
기존 웹 필터링, 이메일 및 다중 인증만으로는 충분치 않습니다
피싱 공격으로부터 방어하기 위해 일부 조직에서는 이메일 인증 및 다중 인증 기술을 구축했습니다.
문제는 피싱의 출처가 이메일로 국한되지 않는다는 것입니다. 사용자의 조직이 이메일 인증 시스템을 구비하고 있다고 해서 사용자가 방문하는 악성 사이트로부터의 피싱 공격이 영향받는 것은 아닙니다. 또한 피싱 링크는 보통 웹페이지 광고의 일부로 SaaS 협업 제품군에서 호스팅하는 문서 내에 배치되며, SMS를 통해서도 점점 더 많이 배포되고 있으므로 이메일 기반 제어를 완전히 우회할 수 있습니다.
피싱 리스크를 줄이는 방법
조직에서 피싱의 리스크를 줄이기 위해 무엇을 할 수 있을까요? 피싱 리스크를 낮추는 몇 가지 방법은 다음과 같습니다.
이메일을 넘어서는 피싱 보안 스택
피싱이 단순한 이메일 문제가 아니라는 것을 인식하는 것이 중요합니다. 고도화된 피싱 및 침입을 통한 피싱 공격을 해결할 수 있는 보안 스택이 있어야 합니다. URL 데이터베이스와 웹 크롤러에 기반을 둔 시스템을 사용하는 것만으로는 충분하지 않습니다. 지금 필요한 것은 최종 사용자에게 전달되는 페이지 콘텐츠를 실제로 분석하여 피싱 리스크가 없음을 확인하고 최초 감염을 방지하는 인라인 머신 러닝과 같은 기술입니다.
교육
기술은 중요하지만, 피싱 리스크에 대해 배우기 위한 일종의 직원 교육 프로그램을 갖추는 것이 현시점에서 논란이 되어서는 안 됩니다. 소셜 엔지니어링 유형에 해당하는 피싱 공격의 본질은 기술을 이용하는 것이 아니라 사람을 이용하는 것입니다. 교육을 통해 보안에 대한 인식을 고취하고 직원들이 문제 해결에 참여하도록 할 수 있습니다.
완전한 보안 주기 접근 방식
피싱 리스크를 줄이려면 단순히 하나의 기술을 구축하는 것으로 그치는 것이 아니라 완전한 주기 접근 방식을 갖춰야 합니다. 이를 위해 조직은 선제 대응 역량과 사후 대응 역량을 모두 갖춰야 합니다. 다양한 기술을 구축하고 보안에 많은 투자를 했더라도 예기치 못한 상황에 대응하기 위한 대책 또한 마련해야 합니다. 직원이 피싱을 당하거나 자격 증명을 도난당하면 어떻게 되나요? 조직에서 악성 액세스를 탐지하고 이에 대응할 역량을 갖추고 있나요?
경영진은 조직의 팀과 협력하여 인바운드 피싱 공격을 최대한 방지하도록 기술, 인력 및 프로세스가 배치되어 있는지 확인해야 합니다. 피싱은 다면적 위협이며, 이를 물리치기 위해서는 종합적인 전략이 필요합니다. 궁극적으로, 피싱 문제를 극복하려면 선제적 프로세스에서 대응적 프로세스에 이르는 통합형 프로세스를 갖추어야 합니다. 하나는 갖추고 다른 하나는 갖추고 있지 않다면 실제로는 위협에 대처할 준비가 되어 있지 않은 것입니다.