사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다.






하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경우에 따라 이들 이메일은 그 사용자가 실제로 하는 일과 관련이 있기도 하다. 그렇기 때문에 사용자들이 별도의 교육 없이 피싱공격을 일일이 구별해 내기란 번거롭고 어려운 일이다. 특히 몇몇 피싱이메일의 내용은 그 진위를 밝혀내기가 어렵기도 하다. 사용자가 이메일을 열고 악성코드를 실행하도록 유도하는 일은 어렵지 않다. 특히 위 사례의 경우 문법적 오류도 거의 없었으며 악성웹사이트의 외관도 정상적으로 보였다.


이렇게 사용자들로 하여금 링크 클릭, 스크립트 열기, 악성웹사이트 방문 등을 하도록 유도하려는 시도는 아주 다양한데 이는 사용자의 데이터가 그만큼 가치가 크기 때문이다. 특히 사용자 정보를 암호화시키거나 위 사례처럼 계정을 잠가 버리고 복구의 대가로 사용자에게 돈을 요구하는 랜섬웨어도 생각할 수 있다.


랜섬웨어 제작자들은 나날이 지능적이고 교묘하게 진화하고 있으며 사용자의 돈을 뜯기 위해 언제나 새로운 수법을 모색하고 있다. 2014년에 배포된 랜섬웨어는 데이터 복호화의 대가로 0.5비트코인(미화 325달러) 정도를 요구했지만 오늘날의 랜섬웨어 변종은 24시간 내에 8비트코인을 지불하도록 요구하며 기한이 지나면 그 두배의 액수를 요구한다. 랜섬웨어는 일반사용자 외에 기업과 IT관리자까지 노리는데 이들의 인프라 내 권한이 승격된 상태임을 이용하고자 하기 때문이다.


여기에서는 기업 내 모든 사용자들에게 공통적으로 적용될 수 있는 몇 가지 유의사항을 소개하려 한다. IT관리자의 경우라면 랜섬웨어와 같은 사이버공격에 대한 대비는 이미 상당히 갖춰진 상태지겠지만 일반사용자는 아무런 대책이 없을 수 있다.


• 음성메일, 구매주문, 배송알림 등을 받았지만 그러한 수신이 본래 업무상 예정된 경우가 아니라면 발신자의 신원이 분명한지 그리고 그 발신자가 해당 내용을 실제로 보냈는지 확인한다. 발신자 신원이 불명확하거나 혹은 수상해 보인다면 해당 이메일은 삭제가 바람직하다. 만약 동기 혹은 상사로부터 문서를 받았고 본문에 첨부물을 반드시 열도록 쓰여 있는 경우에도 일단은 그 동기나 상사에게 직접 연락하여 해당 첨부물을 실제로 보냈는지 확인한다.


• 이메일 첨부물이 있을 때 일단은 그 첨부물을 열지 말고 해당 이메일의 발신자가 자신이 아는 사람이라도 그 발신자가 보통 그러한 첨부물을 보내지는 않는 경우라면 발신자에게 직접 연락하여 해당 첨부물을 그 발신자가 보냈는지 확인한다.


• 어떤 첨부물이든 스크립트 해제 혹은 편집 해제로 인해 링크 클릭을 요구한다면 해당 기능을 절대로 켜서는 안 된다. 특히 데이터가 뒤섞여 보이는 경우라면 이는 사용자의 데이터 전체를 암호화하기 위한 미끼임이 거의 확실하다.


• 회사 기기에서 개인 이메일을 열지 않아야 하며 반대로 개인 기기에서 업무 이메일을 열어서도 안 된다. 랜섬웨어가 주로 기업을 목표로 하며 사용자가 해당 랜섬웨어가 들어간  이메일을 열어서 감염된다면 단순히 파일이 잠기는 데 그치지 않고 업무에 지장을 초래할 수 있어서 훨씬 더 좋지 못한 결과로 이어질 수 있다.

• 마이크로소프트, 에너지업체,우편업체 등은 절대로 사용자에게 설정복원, 주문접수, 음성메일 등을 구실삼아 어떤 웹사이트를 열도록 요청하지 않는다. 이는 순전히 공격자가 사용자 기기에 접근하기 위해 사용하는 기만수법일 뿐이다.


다만 이상의 모든 경우의 수를 다 막아낼 수 있는 만능수단은 존재하지 않는다. 다층보안(layered security)을 통해 최대한 위험을 완화시키는 것이 최선의 방향이다. 악성이메일을 아무리 잘 막아낸다 해도 일부는 필터링을 뚫고 들어올 수도 있으며 악성광고 또한 보안대책에도 불구하고 여전히 나타날 수 있다. 보안대책의 마지막 단계에 해당하는 사용자 측에서는 악성코드가 실행될 경우 어떤 결과가 발생할 수 있는지 알고 이에 대비해야 한다. 아울러 백업솔루션 또는 재난복구대책을 준비하여 보안사고로부터 복구하기 위해 필요한 대책을 마련해 두는 것도 아주 중요하다.




Bjorn Leenen, Hacked by a purchase order. How it can happen, 7. 14. 2016.

http://www.gfi.com/blog/hacked-by-a-purchase-order/


번역요약madfox



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 19. 16:07

위로가기