피싱, 로그온 정보와 암호를 훔쳐내는 데 가장 널리 사용되는 방법 중 하나
PhaaS는 기존 피싱공격과 비교해 비용은 1/4, 동시다발적 공격 가능...피해 더욱 커져

[보안뉴스 김영명 기자] 2022년 3월 구독형 오피스 소프트웨어인 ‘마이크로소프트 오피스 365’가 PhaaS 형태로 악용된 것이 드러났다. 사이버 보안기업 맨디언트(Mandiant)에 따르면, 유럽 건축 컨설팅 회사가 발송인인 해당 이메일을 열어보면, 마이크로소프트 오피스 365의 로그인 페이지가 나타난다.


가짜로 만들어진 미끼 페이지의 안내 문구를 보면 ‘티켓을 오픈(open a ticket)’하라는 문구와 함께 링크가 보이며, 이 링크를 클릭하면 악성 사이트로 연결이 된다. 실제 화면과 똑같이 만들어진 이 사이트에 사용자가 무심코 로그인한다면, 사용자의 계정 정보가 공격자의 손으로 넘어간다.

이번 사건에 악용된 PhaaS에 대해 알려면 먼저 피싱(Phishing)을 알아야 한다. 피싱이란 프라이빗 데이터(private data)와 피싱(fishing)의 합성어로, 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래된 사이버 공격이다. 피싱은 공격자가 로그인, 신용카드 번호 등 민감한 개인정보나 기업 정보를 훔치거나, 악성코드를 통해 사용자의 컴퓨터를 감염시킨다.

그런데 이러한 피싱이 이제는 더 나아가 SaaS(Software as a Service, 서비스로서의 소프트웨어)와 비슷한 방식으로 구독자가 원하는 부분만 별도로 ‘구독 서비스’를 제공하는 ‘서비스형 피싱(Phishing as a Service, PhaaS)’으로 영역을 새롭게 확장하고 있다. 이는 공격을 하고 싶지만 전문 기술과 능력이 없는 사용자(의뢰인)와 공격 능력과 도구를 가진 판매자(해커)들의 이해관계가 맞아 떨어졌기 때문이다.

PhaaS 등장 이전부터 피싱은 아무 것도 모르는 사용자들로부터 로그온 정보와 암호를 훔쳐내는 데에 가장 널리 사용되는 방법이었다. 뿐만 아니라 피싱 이메일 공격을 통해 각종 멀웨어를 퍼트려 시스템을 감염시키는 현상도 빈번하게 발생한다. 특히, 최근 기승을 부리는 랜섬웨어와 맞물려 피싱 공격은 강력한 위협도구로 굳건히 자리잡고 있다.

그러나 PhaaS는 공격 빈도와 범위가 확장되면서 더 위험해질 수 있다. 기존 피싱공격에 비해 공격하는 데 드는 비용은 1/4밖에 되지 않고, 그러면서도 공격자들이 거두는 실익은 더 커지기 때문이다. 게다가 PhaaS를 활용하면 초보자들도 동시다발적인 공격을 감행할 수 있게 된다. 이제 딱히 해킹 기술이나 피싱 공격 기술을 보유하고 있지 않아도 얼마든지 공격을 할 수 있다는 뜻이다.

실제로 PhaaS는 이미 범죄자 집단에서는 성공적인 방식으로 입증돼 급속도로 확산하고 있다. 미국연방수사국(FBI)이 발표한 2021년 인터넷 범죄 보고서는 PhaaS를 인터넷에서 급성장하는 범죄 활동으로 규정했다.

피싱을 대행해주는 전문 범죄집단(해커)들은 피싱에 필요한 모든 프로세스를 단계별로 세분화해 의뢰자의 요구에 따라 ‘구독’ 기반으로 제공한다. 이러한 은밀한 거래는 이미 다크웹에서는 활성화되고 있다. PhaaS를 전문으로 공급하는 업체가 등장하고, 사용자와 판매자간 생태계도 구축됐다. 맨디언트에 따르면, 대표적인 PhaaS 플랫폼으로 거래되는 ‘카페인(Caffeine)’의 서비스 요금은 한 달에 250달러(약 32만 5,000원)다.

PhaaS가 더욱 위험한 것은 실제 판매자(제작자)를 찾아내기 힘들어 연쇄적인 공격을 신속하게 차단하지 못한다는 데 있다. 피싱 키트의 제작자와 사용자가 나뉘게 되면서 수사가 진행돼 공격자(사용자)를 찾는다 해도 제작자를 찾기는 어렵기 때문이다. 제작자 입장에서는 자신의 신변을 보호하면서도 검은 돈을 확보할 수 있어 더욱 구미가 당길 수 밖에 없다.

한편, 피싱 공격을 차단하는 대표적인 방법은 소프트웨어 패치 및 업데이트 유지, 백업의 활성화, 피싱 공격의 진원지로 알려진 웹사이트 차단 등이 있다. 피싱을 포함한 해킹 공격은 때와 장소를 가리지 않기 때문에 2023년 올해도 기본적인 보안수칙을 더욱 철저히 지키는 일이 무엇보다 중요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>