본문으로 바로가기

CONCERT에서 주최하는 사이버 침해사고 정보공유 세미나에 다녀왔습니다. 동시간대에 여러 트랙이 운영되는 형식이기에 선택하여 들어야 합니다. 저는 이번에 인텔리전스라는 주제에 맞춰 내용을 듣고 왔습니다.

이 중에 가장 인상깊게 들었던 섹션은 이스트소프트 시큐리티대응센터의 문종현 센터장의 발표(민감한 내용을 제외하고)입니다.

피싱 이메일과 스피어피싱 이메일의 차이는 고전 공격이냐 트렌디한 공격이냐의 차이라고 볼 수 있습니다. 공격자 입장에서 생각해보면, 이메일을 받아보는 사용자의 특성과 성향가지 파악해야하는 스피어피싱에 비해 단순한 피싱 공격은 매우 편리합니다. 쉽게 공격해 큰 효율을 얻는다면 그보다 뛰어난 ROI는 존재하지 않겠죠. 다른 이유도 존재합니다. 수천년간 존재해온 사기꾼이 수 많은 시대가 바뀌었음에도 변함없이 사기를 칠 수 있었던 이유는 인간이라는 본질적인 존재 때문입니다. 사이버 공격도 공격의 시작과 끝은 결국 사람입니다. 그렇기에 고전 공격과 트렌디한 공격 모두 효율성을 가진다는 입장입니다. 옛 기술이기에 놓쳐서는 안되며, 그 기술이 트렌디해짐으로써 새로운 기술로 바뀔 수도 있습니다.

새롭게 알게된 정보로 Two Track Spear Phishing 이라는 용어입니다. 외국에서 사용하는 단어가 아닌 새롭게 만든 단어처럼 생각됩니다. Spear Phishing의 의미는 아시겠지만 Two Track의 용어를 이해하시는 것이 이 용어를 쉽게 이해할 수 있는 것 같습니다. 두번 보낸다는 의미로 처음에는 정상 파일을 포함하여 보내 사용자가 안심할 수 있게 만든 후, 그 이메일에 대한 회신을 하게되면 악성 코드를 포함시켜 전달한다는 내용입니다. 어떻게 보면 피해자에게 신뢰를 형성시켜 공격하는 방법으로 볼 수 있습니다.

또 다른 것은 C2 서버가 대중적인 소셜 네트워크를 이용하는 것입니다. 이미 과거에 트위터를 이용해 C2 서버를 운영하는 사례가 발생한 적이 있습니다. 트위터뿐만 아니라 인스타그램을 이용하는 경우도 있습니다. 이 경우 회사에서 C2서버를 차단할 수 있는가에 대한 이슈가 있습니다.

중국 선양 아이피가 북한의 공격인가를 고민해보면 과거에는 의문사항이 있었습니다. "정말 북한인가?" 구글링을 조금 해보면 그 해답을 얻을 수 있을 것 같습니다.

저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License

댓글을 달아 주세요

티스토리 툴바