• Legaledu
  • 법률신문 법률정보

    화우

    스피어피싱 해킹 공격 사례의 대응방안

    - 해킹(Hacking) 공격 사례별 기술적 대응방안 및 시사점 -

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2022. 10. 31]



    한국인터넷진흥원(이하 ‘KISA’)은 지난 10월 ‘카카오 서비스 장애’ 발생과 관련하여, 해킹메일 및 스미싱 유포 등 사이버 공격이 발생됨에 따라 사용자 주의를 권고 하였습니다. 이 외에도 해커가 한국의 외교·안보 분야의 특정 정부기관 등에 소속된 인물들을 타깃으로 한 대대적인 공격하거나 보험사로 가장해 비용 청구 또는 악성코드를 감염시키는 행위가 다수 발견 되고 있습니다.


    이메일을 악용한 해킹 공격(스피어피싱/피싱)에 대해 발송자 주소, IP, 첨부파일명 등의 차단과 같은 단편적인 조치 및 대응은 위협을 궁극적으로 해결하지 못하고 또다른 사고를 야기할 수 있습니다. 현재 구축된 보안 환경에 맞춰 방어자 관점에서 종합적인 방어 전략을 수립이 필요합니다.



    1. 해킹공격사례 분석(스피어 피싱 공격)

    (1) 스피어 피싱 해킹 공격

    스피어피싱(Spear Phishing) 공격은 신뢰할 수 있는 발신자가 보낸 것으로 가장하는 특정인을 대상으로 하는 이메일 공격입니다. 이메일 내용에는 공격자가 원하는 행동을 유도하기 위한 구체적인 정보가 포함돼 있는 것이 특징 입니다. 예를 들면, 수신자의 이름, 직장 정보나 활동하는 단체, 그리고 사생활에 관한 정보들을 포함하고 있어 사용자를 속이는 해킹 공격 유형입니다.


    대표적으로 포털 또는 공공기관을 사칭하여 링크를 클릭 하거나 첨부파일을 실행하도록 유도하여 정보 탈취 또는 악성코드 실행하는 형태입니다. 다음(Daum) 고객센터’를 사칭한 이메일은 주소가 ‘notice-alert@daurn.net’으로서, ‘daum’처럼 속이기 위한 도메인 형태 이며, 이 외에도 국세청을 사칭한 전자세금계산서 발급을 내용으로 하여 첨부파일을 실행 시키기를 유도 하는 형태 등 수신자가 관심있어 하거나 첨부파일을 실행 시키거나 링크를 클릭하기를 유도하는 형태의 메일이 다수 발견 되고 있습니다. 특정인 또는 특정 분야의 전문가에게만 전송되는 대표적인 스피어피싱 해킹공격 사례입니다.


    221031_kor-1.jpg


    (2) 시나리오

    본 시나리오는 특정인을 대상으로 한 이메일 공격인 스피어피싱 공격 절차에 대한 설명입니다. 공격자(해커)가 어떤 절차로 해킹공격을 수행하는지를 설명합니다.


    221031_kor-2.jpg


    (3) 시나리오에 따른 해킹 공격 기법 및 절차(TTPs)

    스피어피싱 공격 기법의 절차는 다음과 같습니다. ①공격자는 호스팅 서버를 장악하여 거점을 생성 합니다. ②거점을 활용하여 인사, 영업 담당자 등 이메일 주소가 외부에 공개된 대상으로 악성메일을 전송 합니다. ③공격자는 악성 한글 문서를 첨부하거나 거점에 악성코드를 심어두고 이메일 수신자가 접속하도록 유도하여 공격 대상을 악성코드에 감염 시키고 시스템의 정보를 수집합니다. ④ 악성코드에 감염되면 추가 명령 실행 또는 악성코드 실행으로 “사용자” 에서 “관리자”권한을 획득 합니다. ⑤ 지속적으로 공격을 수행하기 위하여 악성코드를 서비스 등록, 시작 프로그램 설정, 작업 스케줄러 등록, 웹셸 삽입을 수행합니다. ⑥”관리자”권한을 이용하여 기기 내부의 기밀문서, 네트워크 구조, 계정정보 등의 추가 정보를 수집합니다. ⑦ 수집한 계정 정보를 활용하여 내부 전파를 수행합니다. 이후 중요 정보가 포함된 시스템에 도달 할 때까지 정보수집과 내부 전파를 반복 수행합니다. 일부 망분리 된 환경에서는 망연계 솔루션 또는 DRM 솔루션의 취약점을 공격합니다. ⑧ 내부에서 충분히 중요정보를 수집한 경우엔 지속성 확보를 위한 악성코드는 제외한 모든 악성코드를 삭제합니다.



    2. 공격 단계별 기술적 대응방안


    221031_kor-3.jpg

     

     

    3. 시사점

    스피어 피싱 해킹공격 시나리오를 기반으로 조직이 가지고 있는 3가지의 문제점을 도출 할 수 있습니다.

    (1) 비정상 이메일에 대한 처리 방법 및 보호조치 미흡

    (2) 인프라 내에 발생하는 비정상 행위 식별(탐지/분석) 방안 부재

    (3) 시스템 및 백신의 최신 패치 등의 관리 미흡

     

    열거된 3가지 미흡한 부분에 대해서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 45조의 3(정보보호 최고책임자의 지정 등)’, ‘전자금융감독규정 제 37조의4(침해사고대응기관 지정 및 업무범위 등), 국가정보보안 기본지침 제96조(사이버공격 대응훈련)에 따라 정기적인 해킹 침해사고 대응 훈련(연1회 이상)을 수행해야 하며, 훈련 내용에 사용자 악성메일 모의훈련 및 사전 예방 교육을 수행함으로 비정상 이메일에 대한 대응력을 높이고 발생될 위험을 사전에 예방하고 대응력 향상에 노력할 필요가 있습니다.



    이근우 변호사 (klee@yoonyang.com)

    석제범 고문 (jbseok@hwawoo.com)

    이광욱 변호사 (kwlee@yoonyang.com)

    이수경 변호사 (sgyi@yoonyang.com)

    백재환 전문위원 (jhb@hwawoo.com)

    지재원 전문위원 (jwji@hwawoo.com)