피싱, 스피어 피싱, 웨일링(Whaling)은 모두 상대방을 속여 의도한 매체를 상대방의 기기(PC, 스마트폰 등)에 저장시켜 정보를 빼내거나 파괴시키는 공격 유형이다. 피싱은 이메일 또는 기타 전자 메시지를 사용해 표적을 속이는 광범위한 분류이고 스피어 피싱과 웨일링은 피싱의 세부 공격 유형이다.
대부분 피싱 공격은 많은 수의 수신자에게 자동으로 전송되는 포괄적인 메시지의 형태를 띤다. 첨부 파일명이 익숙한 제목이라던지 접속 시 득이 되는 정보를 포함하고 있는 특정 사이트로 연결되는 링크가 포함되어 있는 등 매우 유혹적으로 작성되어 있다. 메시지 내용이 특정 사람에게 특화된 것은 아니고 불특정 다수가 대상이다. ‘피싱(phishing)’이라는 용어는 ‘낚시(fishing)’에서 파생됐다. 미끼를 단 낚시 바늘(피싱 매체)을 던지고 피해자가 물기를 기다리는 것을 비유한다.
스피어 피싱은 그 이름에서 알 수 있듯이 ‘특정’ 물고기를 잡으려고 시도하는 것이다. 스피어 피싱 이메일에는 공격자가 원하는 행동을 유도하기 위한 구체적인 정보가 포함돼 있다. 수신자의 이름부터 시작해 공격자가 다양한 소스에서 얻을 수 있는 직업 또는 사생활에 관한 정보가 포함될 수 있다.
스피어 피싱이란?
스피어 피싱 정의
스피어(spear)는 창처럼 생신 뾰족한 도구를 뜻하고 한다. 피싱(phishing)은 요즘 한참 이슈가 되고 있는 보이스 피싱의 피싱과 같다. 즉 특정 대상을 정하고 노려서 작살로 잡는다는 것 여기서 특정 대상은 물고기가 아닌 사람이다.
작살로 대상 물고기를 정하고 쫓아가서 잡듯이 목표물을 특정하고 그 목표물에 최적화해서 저지르는 피싱범죄를 뜻한다. 예를 들어, 과거의 피싱은 그냥 불특정 다수를 상대로 미끼를 뿌리고 아무나 걸려라, 하는 식이었다. 그물이나 통발을 던져서 걸리는 물고기를 건져 올리는 것에 비유할 수 있는 반면 스피어 피싱은 목표물을 특정한 다음 목표물에 관련된 정보를 수집한 다음 이를 바탕으로 맞춤형 전략을 준비한다.
만약 어떤 특정한 조직이나 단체에 악성코드를 감염시킬 것을 목표로 한다면 그 조직이나 단체에 관한 정보, 예를 들면 업무용 서식이나 회사 직제, 기타 중요한 정보를 캐낸 다음, 마치 업무 관련 공문인 것처럼 직원들에게 메일을 보낸다. 메일을 보면 'XX월 XXX행사 관련 공지'와 같은 제목을 달고 있는 데다가 메일의 형식도 회사에서 쓰는 것과 같고 첨부파일도 회사에서 쓰는 양식으로 되어 있다. 의심할 여지없이 다른 부서 관계자가 보낸 것으로 믿고 다운로드하였다가 악성코드에 감염되는 것이다.
스피어 피싱 실제 사례
2014년 발생해서 떠들썩하게 했던 한국수력원자력(한수원)의 해킹 사고가 스피어 피싱으로 악성코드를 침투시킨 후 온갖 자료들을 빼돌려서 인터넷에 공개하면서 한수원을 조롱했었다. 공개된 자료 중에는 핵발전소 관련 도면이나 부품도와 같은 것들까지 있었다. 수사 결과 북한 발표라고 나왔었다.
한수원 해킹을 위해서 범인은 퇴직자가 쓰던 계정을 이용했고, 한수원 내부 서식을 그대로 써서 첨부파일을 만들었는데 여기에 악성코드를 심었다. 그리고 한수원 직원들에게 보냈다. 직원들은 메일을 보니 평소에 보던 업무 메일과 다를 바 없어 보이니 첨부된 파일을 열었다가 악성코에 감염된 것이다. 실행파일이나 압축파일과는 달리 문서 파일은 방심하기 쉬운데, 그래서 스피어 피싱 공격에 제일 많이 쓰는 파일이 MS워드 문서 파일이다.
스피어 피싱 공격 방식 및 특징
개인정보 수집은 스피어 피싱 공격에서 가장 중요한 첫 단계이다. 공격 대상이 수신 한 메시지에 거부감이 없이 친숙하게 다가가야 하기 때문이다. 표적이 된 기업 내 누군가의 이메일을 최초 해킹하고 공격자는 한동안 네트워크 안에서 흥미로운 대화를 모니터링하고 추적한다. 그리고 적절한 시기에 과거 대화를 언급하거나 이전에 송금한 구체적인 금액을 언급하는 등 내부자 정보가 포함된 신뢰할 수 있는 맥락을 사용해 표적에게 이메일을 전송한다..
공격자가 온라인 활동으로 개인정보를 얻을 수 있다면 이를 유리하게 활용할 것이다. 실제 사례를 들자면 사례자가 보험사로 가장해 보험금 청구 사항이 자동 업데이트되었음을 알리는 이메일을 받았고 링크를 클릭하자마자 특정 코드가 침투했다. 사례자는 얼마전 자동차 사고를 당했고 소셜 미디어에 사고 자동차 사진을 공개했으며 보험 제공사의 이름을 자신도 모르게 자연스럽게 공개하며 청구에 신속하게 대응했다는 댓글을 남겼다. 이를 이용해 공격자는 피해자의 보험사에 관한 정보를 확보했고 스피어 피싱에 활용한 것이다.
공격자는 새로운 기업 환경에 아직 적응하지 못한 신입 직원에게 주로 공격을 집중한다. 공격자가 제대로된 개인정보를 확보한 경우에 스피어 피싱 이메일의 주된 목적은 이례적이거나 기업 채널을 벗어난 행동을 주로 요청한다. 신입 직원은 요청이 이상하다는 것을 알아차리기 어려울 수 있기 때문이다. 실제 사례를 하나 더 들자면 CEO로 위장한 알 수 없는 전송자가 내가 근무하던 기업에 있는 여러 사람들에게 이메일을 전송한 적 있다. 해당 이메일은 모든 보안 메커니즘을 통과했으며 실제 이메일 주소를 사용했다. 하지만 이메일 주소 도메인은 회사 메일이 아닌 지메일이었으며 모든 회사 정책을 우회하는 등의 작업을 긴급하게 수행하도록 요청하면서 수신자가 실수를 하도록 압박을 가했다. 재직한지 오래된 직원들은 무언가 이상하다는 것을 알아차릴 수 있는 메일이었지만 신입 사원은 해당 조직 문화에 경험이 얼마 없으므로 공격자의 의도대로 행할 수 있는 것이다.
스피어 피싱 예방법
스피어 피싱 공격을 완전히 차단할 수 있는 기술적인 방법이 있다면 좋겠지만 현실적으로 어려운 것이 현실이다. 우선 각 계정마다 고유하고 강력한 비밀번호를 사용하고, 온라인 자격 증명이 포함된 비밀번호 보호 장치를 사용하는 등의 조치가 중요한 이유를 모두에게 설명해야 하는 것이 기본적이면서도 가장 첫째로 해야 할 일이다.
또한 여러 가지의 이메일 보안 솔루션을 사용하고 서드파티 솔루션으로 이메일 제공업체의 서비스를 보완해 스팸과 유해한 첨부파일을 필터링할 수 있도록 해야 한다. 하지만 스피어 피싱 같은 소셜 엔지니어링 공격에 대한 최고의 방어책은 인간의 지능이다. 이를 위해서는 항상 대비하도록 교육해야 한다.
다음은 피싱 시뮬레이션을 이용하는 것이다. 실제로 이메일에 무언가를 첨부해 클릭 시 교육 자료로 이동하도록 해서 실제 일어날 수 있는 상황을 미리 경험해 보는 것이다. 사람들은 링크를 클릭하고 ‘피싱을 당했다’는 메시지를 받는 경험을 하게 되면 유사한 실수를 하지 않게 될 확률이 높아지고 공격을 더욱 잘 인지하게 된다.
궁극적으로 스피어 피싱을 예방하는 가장 좋은 방법은 항상 의심하는 것이다. 피싱 사기는 이메일 계정이 해킹되거나 복제된 신뢰할 수 있는 사람이 전송하는 경우가 많다. 사람에 대한 믿음과 대다수 사람이 선량하다고 믿고 싶은 마음은 피싱 공격에서 이용된다. 조금이라도 의심스러우면 의심하고 예방해야 한다.