스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 악성코드 감염 증상 -

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 

1.4 악성코드 감염 증상

   다양한 산업이 IT 산업과 융합되고 인터넷을 통해 많은 컴퓨팅 장치들이 연결되면서 악성코드의 제작 및 유포 목적이 구체화 되고 있다. 이에 따라 악성코드에 의한 피해 규모가 증가하였으며, 피해대상이 다양해졌다. 현재의 악성코드는 단순히 시스템을 파괴하는 것뿐만 아니라 사용자의 의도와는 상관없이 스팸 메일 발송, 원격제어, 그리고 광고 팝업 등의 피해를 주기도 한다. 컴퓨터가 악성코드에 감염되었다면 아래 [표 4]와 같은 증상이 있을 수 있다.

[표 4] 악성코드 감염 증상

증 상	내 용
시스템 정보 변경	레지스트리 키 값 변경
FAT 파괴	FAT 유형 파일 시스템 파괴
CMOS 변경	CMOS 변경으로 인한 부팅 장애 유발
기본 메모리 감소	시스템의 기본 메모리 감소로 인한 성능 저하
시스템 속도 저하	시스템의 처리 속도 저하
프로그램 자동 실행	부팅 시 악성코드가 실행되도록 설정 변경
프로세스 종료	특정 프로세스 강제 종료
시스템 재부팅	시스템 강제 재부팅
전자우편 발송	특정 사용자에게 전자우편 발송
정보유출	사용자 정보를 네트워크를 통해 유출
네트워크 속도 저하	감염된 PC의 네트워크 속도가 감소
메시지 전송	다른 PC로 메시지 전송
특정 포트 오픈	특정 백도어 포트 개방
하드드라이브	저장장치 포맷 또는 접근 장애 유발
파일 생성	사용이력, 정보저장, 쓰레기파일 생성 등 다양
파일 삭제	시스템파일, 사용자파일 삭제
파일 손상	파일의 일부 변경을 통한 파일 손상
화면 출력	특정 내용이 파일에 출력
특정음 발생	비트음이나 스피커를 통해 소리 발생
메시지 출력	화면에 특정 메시지를 출력
실행 가능한 코드	매크로나 스크립터 언어로 짜인 코드 실행
시스템 사용이력 저장	방문 웹 사이트, 실행한 프로세스 등 시스템을 사용하면서 발생하는 정보 저장
네트워크 트래픽 저장	네트워크 장치를 통해 이동된 트래픽 저장

1.5 스피어피싱

   조직 내의 신뢰받는 특정인을 대상으로 ID와 Password 정보를 요구하는 일종의 피싱 공격, 회사의 인력 부서나 기술 부서에서 직원들에게 이름 및 패스워드 업데이트를 요구하는 것처럼 스피어피싱 행위가 행해지며 공격자는 이로부터 데이터를 획득하고 네트워크에 잠입할 수 있다. 또한, 사용자가 스파이웨어가 수행되는 링크에 클릭하도록 유도하는 스피어피싱도 발견되었다. 대규모 이메일 기반의 피싱 공격은 2010년 11억 건에서 2011년에는 5억 건으로 줄었다. 반면에 스피어피싱 공격은 1년 동안 3배나 늘어 이로 인한 피해 가능성이 커졌다. 스피어피싱 공격 대상자의 50% 이상이 첨부파일을 클릭하는 것으로 알려져 있다. 또한, 스피어피싱 공격의 경비는 1,000명 대상 스피어피싱 비용이 100만 대상 일반 피싱보다 10배나 큰 비용이 소모됨에도 불구하고 대규모 스팸 메일보다 클릭할 확률이 10배 이상 높다고 조사되었다. 스피어피싱 공격은 최근 사이버 공격자가 가장 선호하는 공격 기법이고 조직의 보안 관리자에게는 보안의 방어 연결 고리 중 가장 약한 사람을 대상으로 하는 공격이기에 가장 방어하기 어려운 공격이다. 아래 [표 5]는 국내에서 발생한 스피어피싱 사례다.

[표5] 스피어피싱 사례

날 짜	내 용
2008. 6	이메일 통한 ‘고소장접수결과보고.zip’ 파일. ‘Adobe사 고소장 접수에 대한 안내문’이라는 제목의 전자우편이 특정 메일주소로 대량 발송되었다. 본 메일에는 ‘고소장접수결과보고.zip’ 이라는 제목의 파일이 첨부되어 있다. 압축을 풀면 ’고소장접수결과보고.exe’ 실행 파일이 있는데 이 파일을 실행하게 되면 ‘nbjs.dll’ 이란 파일이 만들어져서 DDoS 공격에 이용되는 것이다. 개인 정보 유출과 관련된 집단 소송이 인터넷을 통해 퍼지고 있는 것을 악용한 악성코드이다.
2011. 6	신용카드 한도 초과 안내메일로 위장한 악성코드 유포. 악성코드를 첨부한 메일을 발송하는 사례가 다시 증가하는 추세이다. 이번에 발견된 악성코드를 첨부한 유해 스팸 메일(Spam Mail)은 신용카드가 한도를 초과하였다는 메일로 위장하고 있다. 해당 악성 스팸 메일에 첨부된 악성코드를 실행하게 될 경우에는 특정 시스템으로부터 금전을 목적으로 한 허위 시스템 복구 프로그램을 다운로드 및 실행하게 되고 이를 통해 개인 정보가 유출되게 된다.

APT 공격의 성공 가능성을 높이기 위해서는 스피어피싱 이메일을 작성하기 위한 정보 수집 단계가 중요하다. 공격자는 먼저 공격 목표 조직의 주요 직원, 즉 기밀데이터나 중요 시스템에 대한 접근 권한이 있는 최종 사용자가 누구인지 파악한다. 스피어피싱 공격 대상자가 정해지면 대상자에 대한 상세 정보 이름, 가족 관계, 생일, 주소 졸업한 학교, 취미, 친구 관계 등을 수집한다. 

   스피어피싱 공격 대상자 관련 정보는 지하 시장(Black market)에서 구매하거나 Facebook, Linkedin, Twitter와 같은 SNS(Social Network Services) 웹 사이트, 회사, 기업과 학교 출판물, 구글(Google) 검색 등을 통해 쉽게 수집할 수 있다. 특히, 스피어피싱 공격 대상자의 이메일 주소의 거의 절반은 구글 검색을 통해 얻을 수 있다. 구글 검색을 통해 획득할 수 없는 이메일 주소는 ‘수신자_이름@기업_도메인’과 같은 공격 대상자 이메일 주소의 4분의 3은 웹을 통해서 얻을 수 있다. 그리고 공격 목표 조직의 위치 정보, 대표자, 관리자, 사용자 정보, 네트워크 환경, IP주소, 응용 프로그램 버전 정보 등도 SNS 웹 사이트나 취업정보 웹 사이트를 통해 쉽게 획득할 수 있다. 이러한 정보는 공격자가 이메일에 첨부할 악성코드 제작 시 보안 솔루션을 우회하려는 방법을 찾는데 악용될 수 있다. 

   목표 조직의 내부망에 위치한 단말기에 침입한 이후의 정보수집 단계에서 피해자의 컴퓨터에 원격통제 프로그램을 설치한 후 수행된다. 이 단계에서, 공격자는 피해자의 컴퓨터에 어떤 운영체제와 보안 소프트웨어가 설치되어 있는지 파악하고 로컬 IP 주소, 프락시(Proxy) 서버, 네트워크에 연결된 다른 컴퓨터에 대한 접근 정보를 획득한다. 이러한 모든 정보는 공격의 지속성을 유지하여 추후 공격을 수행하고 공격 목표 스피어피싱 기업에서 데이터를 유출하기 위해 사용된다. 

   또한, 사회공학적 기법은 사람 심리 상태를 이용하는 것이므로 사이버 공격자는 사람들의 판단력이 느슨해지는 시점을 찾으려고 노력한다. 스피어피싱 공격의 성공 확률을 요일별로 분석한 결과(2012년 7월~8월)는 금요일(38.5%), 월요일(30%), 일요일(10.9%), 목요일(6.5%), 화요일(5.8%), 수요일(5.2%), 토요일(3.2%) 순서였다. 금요일은 대부분 직원이 주말을 앞두고 한 주간의 근무 피로감 등의 이유로 이메일 공격에 대한 경계심이 약화한 것이 원인인 것으로 추정되고 월요일은 주말 이후 평소보다 많은 이메일을 확인하므로 스피어피싱 이메일 여부를 판단하는데 집중력이 떨어져 스피어피싱 공격에 취약한 것으로 분석된다. 그리고 공격 대상자에 대해 사전 수집한 정보를 기반으로 철저히 개인화된 스피어피싱 이메일을 작성한다. 스피어피싱 이메일은 공격 대상자가 악성코드가 있는 URL 링크를 클릭하거나 악성코드가 삽입된 첨부파일 등을 열어보도록 유도하는 본문 내용과 악성코드 URL 링크나 악성코드가 포함된 첨부파일로 구성된다. 공격 목표 대상자가 메일에 첨부된 파일을 열거나 악성코드가 위치한 URL 링크를 클릭하면 사용자가 인지하지 못하는 사이에 단말기에 트로이목마와 같은 악성코드가 설치되고 이 단말기를 통해 공격자는 공격 목표 조직의 주요 시스템과 네트워크를 장악한다. 첨부파일 형태는 스피어피싱 이메일 중 94%가 악성코드가 삽입된 첨부파일을 사용하고 나머지가 악의적인 링크를 클릭하여 악성코드를 내려받는 방법을 사용하고 있다. 

   이메일에 첨부되는 파일 형태는 다양하다. 가장 많이 사용되는 파일 형태는 ‘.rtf, .xls, .zip, .pdf’ 등으로 조사되었다. 일반적인 실행 파일 형태인 ‘.exe’ 는 기존 보안솔루션에 의해 탐지되므로 거의 사용되지 않지만 압축된 형태인 ‘.lzh, .rar, .zip’ 파일 형태로 사용되고 있다. 이러한 압축파일에 비밀번호를 걸어 보안 솔루션을 우회한다. 

   하지만 이러한 실행 파일이 실행될 때 이상하게 보이거나 사용자가 알아챌 수 있으므로 대부분 일반문서 형태 ‘.xls, .pdf, .doc, .hwp 등’ 의 파일에 삽입하여 사용자는 일반문서를 여는 것 같지만, 사용자가 인식하지 못하는 사이에 악성코드가 실행되게 된다. 이렇게 실행되는 악성코드는 익스플로잇 취약점을 악용하기 때문에 기존의 보안 솔루션으로는 탐지가 어렵다. [표 6]은 자주 발견되는 악성코드 파일의 유형을 정리하였다.

[표 6]

구 분	내 용
PE 파일	.exe, .dll, .sys, .cab 등
문서파일	.doc, .docx, .xls, .xlsx, .ppt, .pptx, .rtf, .pdf, .hwp 등
미디어	.swf, .jpg, .avi, .mp4 등
기타	.html, .js, .jar, .apk 등

다중 요소 위협

   스피어피싱은 일반적인 특성을 기존의 보안대책을 우회하기 위해서 개인별 최적화된 이메일 및 송신자 위장, 익스플로잇 취약점 이용, 단축 URL, 그리고 Drive-by-Download 등의 기술을 혼합하여 사용하는 다중 요소 위협이라는 점이다. 스피어피싱 이메일을 통해 최종 사용자 단말기를 감염시키고 감염에 성공한 악성코드는 외부와 통신하며 추가 바이너리를 내려받고, 데이터를 유출하는 다중 단계로 구성된다. 

이러한 스피어피싱 이메일 위협은 목표가 지정되어 있고, 철저히 개인에게 최적화된 이메일 이어서 스팸 필터(Spam filter)가 탐지할 가능성이 작다.

시그니처 기반의 악성코드 탐지 한계

   공격자의 대부분은 시스템과 응용프로그램의 취약점을 직접 찾지 않고 보안 연구자나 소프트웨어 업체가 취약점 정보를 공개할 때까지 기다렸다가 기업이나 기관에서 대응하기 전에 해당 취약점을 이용한 악성코드를 제작해 사용하는 경우가 대부분이다. 시그니처 기반의 기존 안티바이러스 제품으로는 익스플로잇 공격을 방어할 수 없는 문제점이 있으며 전 세계적으로 매일 6만 개 이상의 새로운 악성코드가 제작되고 있는 것으로 추정하고 있다. 또한, 보통 안티바이러스 업체가 신규 악성코드에 대한 탐지용 시그니처를 만들어 배포하는데 평균 11.6일이 소요된다고 한다. 방화벽(Firewall), 침입방지시스템(IPS), 안티바이러스(Anti Virus), 보안 게이트웨이(Security Gateway) 같은 기존의 정보보호 시스템으로는 이러한 익스플로잇 공격을 이용하는 스피어피싱 공격을 탐지하고 차단하는 데 한계가 있다.