[침해사고] 성심당몰로 알아보는 피싱 공격

서론

최근 큐싱, 피싱 등 침해사고 사이트를 간간이 확인해 볼 수 있었다.
특히, 한국에서 사용하는 대표 포털 네이버 화면의 경우, 북한 피싱 사이트를 비롯한 악의적인 목적으로 활용되고 있다.
공격 시나리오에 따라 피싱 사이트에 로그인을 시도할 수도 있을 듯하여 정리해 본다.

---

이론적 배경

• 피싱 (Phishing)
  • 개인정보(Private Data) + 낚시(Fishing)을 합성한 조어라고 이해하며 사용하고 있다.

피싱 개념도

• 피싱 사이트
  • 눈에 보이는 화면은 정상적인 화면과 피싱 화면이 동일하므로 입력한 계정 정보 등이 공격자에게 넘어갈 수 있다.

이용자 관점에서 보는 팝업형 피싱 공격

---

예상 시나리오

• 목표 페르소나 : 4~50대 중장년, IT 관련 지식을 보유하고 있지 않음
  • 긴급 송금 요청
    • 문자 메세지나 카카오톡을 통해 학자금이나 용돈 등 간단한 요청을 공격자에게 자녀 등으로 위장된 수신을 받을 수 있다.
    • 아래 사례의 경우, 미심쩍은 부분을 느낄 수 있으나 대신 포털에 로그인을 부탁한다 등의 요청으로 피싱 사이트로 유도하는 부분을 생각해 볼 수 있다.

금융감독원, 대표 스미싱 사례

• 쇼핑몰 등 실제 업체 사칭
  
  • 흔히 사용하는 택배사, 쇼핑몰 등으로 사칭하여 현재 발송 중인 택배가 있다고 전달 받을 수 있다.
  • 물건을 받거나 금전적인 이슈가 엮여있는 부분은 쉽게 클릭을 유도할 수 있는 부분이라고 생각된다.

---

대응 방법

• URL 주소창 검토
  • MitM 공격을 받을 수 있는 환경을 고려하지 않는다면 신뢰할 수 있는 부분은 주소창을 통한 올바른 결제 혹은 로그인 페이지 임을 확인할 수 있다.

네이버 실제 페이지

• 단축 URL, 신뢰되지 않은 링크 차단
  • 실제 서비스 URL이더라도 위에 해당되는 내용이라고 한다면 링크가 아닌 실제 서비스에 직접 들어가보는 습관을 들이는 것이 중요하다.
  • 웹의 경우, 입력하는 모든 이벤트가 넘어갈 수 있으며, 모바일의 경우, 권한 허용을 생각하지 않고 허용한다면 중요 개인정보를 탈취당할 수 있다.

---

결론

1. 현재는 오히려 지능형 지속 공격을 의미하는 APT(Advanced Persistent Threat)를 조심해야 한다.
2. 나이, 성별, 주소, 습관, 취미 등 개인정보를 파악하고 있다면 그에 맞게끔 공격 시나리오를 구성하여 맞춤 문자 등으로 공격의 위험성이 높아질 수 있다.
   1. 취미나 관심사에 관련된 트정 이벤트나 할인 정보를 제공하는 사회 공학 공격을 활용할 수도 있으며, 스미싱으로 신뢰성이 높은 내용을 구성하여 발송하는 스피어 피싱으로 이어질 수도 있다.
3. 완벽한 보안은 없는 것처럼, 완벽한 사기 대응 또한 존재할 수 없다고 생각한다. 다만, 피싱에 걸리더라도 해외 결제 차단, 카드 정지 등 신속하게 대응할 수 있는 보완 장치를 마련하자.

---

참고 및 인용 출처

- 피싱이란 무엇일까요?. akamai. https://www.akamai.com/ko/glossary/what-is-phishing.
- KISA. (2022. 11.). 포털 사칭 팝업형 피싱 분석 기술보고서. https://kisa-irteam.notion.site/bb4b19a9bfe44da599ace4ab4897eff1.
- 네이버. (2022. 07.). 진짜 "네이버 로그인" 구별하는 방법. https://help.naver.com/notice/noticeView.help?noticeNo=5793&serviceNo=1&page=1&lang=ko