최근 ICT 기술이 발전함에 따라 우리는 은행이나 관공서 등에 방문하지 않고도 인터넷을 이용하여 관련 서비스를 쉽고 편리하게 이용할 수 있고, 클릭 몇 번으로 맛있는 음식을 배달시킬 수 있으며, 회사에 출근하지 않았음에 불구하고 단순 업무 처리뿐만 아니라 동료와의 복잡한 협업까지도 가능한 현대의 편리한 삶을 영위하고 있습니다. 그렇다면 인터넷을 기반한 편리하고 윤택한 삶이 과연 얼마나 안전할까요? 여러 보안 관련 기관 및 언론의 보도에 따르면 해킹, 랜섬웨어, SW 공급망 위협 등 다양하고 새로운 사이버 위협으로 인해 피해사례가 지속적으로 증가하고 있는 것을 볼 때 편리함을 제공하는 인터넷 기술이 결코 안전하지 않다는 것을 알 수 있습니다[1]. 그중에서도 최근에는 개인정보를 노리는 사이버 공격이 갈수록 진화하고 있어 개인정보 보호의 중요성이 날이 갈수록 높아지고 있습니다.
개인정보를 훔치기 위해 해커는 피싱(Phishing), 불법 침해, 악성코드 등의 다양한 수법을 이용하여 개인정보 탈취를 시도하고 있는데, 이 중에서도 사회공학적 기법의 피싱 공격은 고도화된 공격 기술보다는 사람의 심리를 이용하여 상대적으로 낮은 수준의 기술적 노력과 적은 비용이 투입되지만, 개인정보의 탈취 성공률이 높아 빈번히 사용되고 있는 공격기법입니다.
<그림 1> 네이버 정상 사이트(좌), 피싱 사이트(우)
위 로그인 화면만을 비교하여 어떤 사이트가 정상인지 피싱인지를 분별할 수 있을까요? [그림 1]의 우측 로그인 화면은 네이버 로그인 페이지와 거의 유사하게 보이지만, 실제로는 로그인 시 입력된 계정정보가 공격자의 서버로 전송되도록 구현된 계정정보 탈취 목적의 피싱 사이트입니다. 이처럼 피싱 사이트는 화면에 나타난 콘텐츠만으로는 정상인지 피싱인지 구별하기가 매우 어렵기 때문에 주의 깊게 살피지 않는다면 누구나 피해를 당할 수 있습니다. 이번 포스팅에서는 피싱 사이트에 대한 정의와 동작 원리 및 특징에 대해 알아보고, 피싱 사이트의 동향과 진화된 기법들에 대해 살펴보도록 하겠습니다.
피싱 사이트란?
피싱(Phishing)이란 개인정보(Private data)와 낚시의 피싱(Fhishing)의 합성어로 개인정보를 낚시한다는 의미를 지니고 있으며, 기술적인 취약점보다 사회적 공학 기법을 기반으로 하여 인간의 심리를 교묘히 이용한 기만 공격으로 정의할 수 있습니다. 흔히 게시글, 메일, 문자 등 통신매체를 통해 사용자의 호기심을 이용하여 미리 구축된 피싱 사이트에 접속을 유도함으로써 [표 1]과 같이 공격자의 목적에 따라 정보 유출 및 악성코드 감염, 허위 사실 유포 등으로 다양한 피해가 발생하고 있습니다.
<표 1> 피싱 사이트의 대표적인 유형
| 유형 | 카테고리 | 목적 |
| 로그인 | 포털, 메일 … | 계정 유출 |
| 결제 | 금융, 쇼핑 … | 금융정보 유출 |
| 개인정보 | 이벤트, 택배 … | 이름, 전화번호, 주소 등 |
| 악성코드 유포 | 클라우드, 청첩장 … | 악성코드 감염 |
| 광고 | 이벤트, 블로그 … | 접속을 통한 금전적 이득 |
| 정치 | 뉴스, 웹툰 … | 허위 사실 유포 |
피싱 사이트의 동작 원리 및 특징
피싱 사이트의 동작 원리에 대해 살펴보고자 연구팀은 실제 온라인에 공개된 다양한 피싱 사이트에 직접 접속 및 수집하여 분석을 진행하였는데, 피싱 사이트는 간단하고 조악하게 제작된 사이트부터 코드 난독화 기법이 적용된 교묘하고 고도화된 사이트까지 존재하며, 모바일 접속만 가능한 사이트, 실시간 이미지 등 콘텐츠가 복사 연동되는 사이트 등 다양한 유형의 피싱 사이트를 확인할 수 있었습니다. 분석된 피싱 사이트 중 주요 특이 코드가 적용된 피싱 사이트에 대해 좀 더 자세히 살펴보겠습니다.
<표 2> 주요 특이 코드가 포함된 피싱 사이트
| 구분 | A 사이트 | B 사이트 | C 사이트 |
| 화면 |  |
 |
 |
| 주요 특이코드 |
 |
 |
 |
| 특징 | 계정정보 입력 실패와 성공 메시지를 표시하여 사용자 기만 | 정보 유효성 검증 및 글자 입력시 정보 실시간 수집 | 사용자 접속 환경 감시 및 악성파일 다운로드 요청 |
– A 사이트
• 분류 : 메일 계정 로그인
• 공격목적 : 계정정보 탈취
• 동작 방식
1) 계정정보 입력 후 로그인 시 실패 메시지를 표시하며 입력한 계정정보 유출
2) 3번 로그인 시 성공 메시지 표시 후 입력한 계정정보의 이메일 사이트로 이동
– B 사이트
• 분류 : 쇼핑몰 결제
• 공격목적 : 개인정보 및 금융정보 탈취
• 동작 방식
1) 이메일, 주소, 카드 등 정보입력을 요구하며, 유효성 검증 스크립트를 이용 입력된 텍스트의 길이를 검증
2) 글자 입력마다 GET(POST) 메소드를 이용하여 입력된 텍스트 정보를 실시간으로 전송
<그림 2> 실시간 데이터 전송 패킷
– C 사이트
• 분류 : 모바일 청첩장
• 공격목적 : 모바일 악성코드 유포
• 동작 방식
1) PC로 접속 시 정상 사이트로 이동
2) 모바일로 접속 시 알 수 없는 출처의 어플리케이션 설치 방법에 대한 안내문과 함께 포함된 코드의 meta 태그를 이용하여 자동으로 APK 악성코드 설치
분석된 사이트 중 A와 B 사이트 동작은 사용자가 유출된 사실을 숨기려는 기만 목적으로 추정할 수 있었고, C 사이트는 User-Agent 값이 모바일일 경우만 접속할 수 있으며, 특정 기기를 공격의 대상으로 결정하고 악성코드를 제작하였다고 추정할 수 있습니다.
피싱 사이트의 과거와 현재의 동향
과거 국내 피싱 사이트 발견 건수가 2006년부터 2010년까지 총 20건에 불과하였지만, 2011년 1.849건으로 폭발적으로 증가하였으며, 특히 사법기관과 금융기관을 모방한 사이트를 주류를 이루며 공격적으로 활동하기 시작하였습니다[2]. 2023년 상반기 피싱 사이트 차단 건수는 4,181건[3]으로 차단되지 않은 피싱 사이트를 감안해 볼 때 현재까지 지속적으로 증가하고 있음을 알 수 있습니다.
과거 사용자들은 피싱 사이트에 대한 인식과 주의가 부족하여 이미지 캡처나 소스 코드 복사와 같이 간단한 위장에도 쉽게 속아 넘어가는 등의 피해사례가 속출하였습니다. 다행히 현재는 피싱 사이트에 대한 인식 및 주의 의식이 높아져 과거에 비해 쉽게 속아 넘어가는 피해는 현저히 줄어들었습니다. 또한 다양한 보안 솔루션을 통해 피싱 공격에 대응함으로써 피싱 피해가 드라마틱하게 줄어들 것으로 예상했습니다. 하지만 예상과는 다르게 가상화폐, SNS, 메신저 등 다양한 서비스의 출현과 더욱 정교한 모방 기술, 사회적 이슈나 사람의 심리를 더욱 교묘하게 이용함으로써 개인정보 유출 및 악성코드 유포를 위한 피싱 사이트 위협은 계속해서 진화와 증가하고 있는 실정입니다. 이는 APWG에서 발표한 [그림 3]의 전 세계 피싱 탐지 통계에 잘 나타나 있듯 2019년부터 2022년까지 연간 피싱 공격 탐지 건수는 150% 이상으로 큰 폭으로 증가하였고 앞으로도 지속적인 증가 추세를 보일 것으로 예상되고 있습니다.
<그림 3> APWG 피싱 탐지 통계[4]
점점 더 교묘해지는 피싱 사이트!
피싱 사이트의 이슈가 부각되면서 피싱 사이트에 대한 인식과 주의가 높아진 사용자의 의심을 줄이기 위해 최근에 더욱 교묘해진 방법이 적용된 피싱 사이트들이 다수 발견되고 있습니다. 심지어 정상 사이트에서 제공하는 서비스까지 모방하여 자동으로 제작해주는 피싱 키트가 유포되는 등 다양한 방면으로 피싱 사이트가 교묘하게 진화하고 있습니다.
– 콘텐츠가 실시간 복제되는 피싱 사이트
<그림 4> 실시간 복제된 네이버 피싱 사이트[5]
정상 사이트에서 광고, 게시글 등의 콘텐츠를 실시간 가져와 똑같이 서비스를 제공하는 피싱 사이트가 출현하고 있는데, [그림 4]는 국정원에서 발표한 북한에서 제작한 피싱 사이트로, 그동안 단순히 네이버 로그인 페이지만 복제해 사용자들의 로그인을 유도하는 방식과 다르게, 실시간으로 원본 사이트의 콘텐츠를 복제하는 방식으로 네이버 뉴스, 광고, 증권 등 세부 서비스까지 동일하게 모방하여 제작함에 따라 외관만으로 정상 사이트와 구분하기 매우 어려워, 사이트 접속 시 주의 깊게 URL 확인이 필요합니다[5].
– BitB(Browser-In The-Browse)
<그림 5> BitB를 이용한 로그인 페이지
피싱 사이트를 판별하기 위한 가장 대표적인 방법으로 URL과 SSL 인증 여부를 확인하는 것인데, 이를 속이기 위하여 디자인적으로 새로운 창을 만드는 기술이 등장하였습니다. [그림 5]와 같이 HTML과 CSS를 이용해 브라우저와 똑같이 디자인하여 정상적인 URL과 SSL 인증이 완료된 것처럼 보이도록 속이고 있는 것을 확인할 수 있습니다. 브라우저의 종류 및 버전별로 디자인된 코드가 이미 인터넷에 공개되어 있으므로 누구나 쉽게 만들어 낼 수 있어 문제의 심각성을 더하고 있습니다. 해당 기법이 사용된 사이트는 새로운 창이 독립적이지 않고, 브라우저 밖으로 이동할 수 없으므로 로그인 창이 조금이라도 어색하지 않은지에 대한 주의가 필요합니다.
– PhaaS(Phishing-as-a-Service)
<그림 6> ‘Caffeine’ 플랫폼 로그인(좌), 메인페이지(우)[6]
클라우드를 이용한 서비스형 피싱 플랫폼으로 피싱을 제작할 수 있는 피싱 키트 및 구독 서비스를 제공하고 있습니다. 기존엔 다크웹이나 텔레그램을 통해 암암리에 피싱 사이트 제작이 이루어졌지만, 최근 서피스 웹상에 피싱 제작 서비스를 제공하는 ‘Caffeine’ 플랫폼이 출현하였습니다[6]. 해당 플랫폼은 맞춤형 사이트 제작 및 이메일 제작, 전송 등 다양한 서비스를 제공하고 있으며, 전문지식 없이 요구사항을 입력하게 되면 피싱 사이트를 제작과 함께 피싱 공격 기획을 간편하게 할 수 있습니다. Kaspersky의 보고서에 의하면 469개의 피싱 키트를 분석하여 120만 개의 피싱 사이트가 탐지되었으며[7], 이미 피싱 키트로 제작된 사이트가 활발히 활용되고 있다고 보고하였습니다. 이처럼 새로운 서비스 플랫폼의 등장과 성행으로 인하여 피싱 사이트의 위협 및 피해가 더욱 증가할 것으로 전망되고 있습니다.
글을 마치며
본 포스팅에서는 피싱 사이트의 동작 방식에 대해 알아보고, 과거와 현재의 동향과 점점 더 교묘해지는 피싱 기법에 대해 살펴보았습니다. 피싱 사이트로 인한 피해를 줄이기 위해 여러 기관에서 노력하고 있지만, 사람의 심리를 이용하여 교묘히 속이는 사회적 공학 기법의 특성상 탐지 및 차단에 어려움이 존재하며, 새로운 기술과 서비스의 등장으로 과거에 비해 피싱 위협은 더욱 증가할 것으로 예상됩니다. 따라서 피싱 공격에 효과적으로 대처하기 위해서는 신뢰할 수 없는 사이트에 접속하지 않는 습관과 사이트 접속시 URL을 재차 확인하는 등의 피싱 위협에 대해 항상 주의하는 자세가 필요합니다. 다음 포스팅에서는 피싱 사이트 특징을 기반으로 한 효율적인 탐지와 대응 연구 내용으로 찾아뵙도록 하겠습니다.
참고문헌
[1] 과학기술정보통신부, “2023년 사이버 보안 위협 분석 및 2024년 전망 발표”
[2] 한국인터넷진흥원, “국내 공공ㆍ금융기관 피싱사이트 빅뱅수준 폭발적 증가”
[3] 과학기술정보통신부, ‘진화하는 사이버 공격, 적극적인 보안강화 노력 필요(2023년 상반기 주요 사이버위협 동향 분석)’
[4] APWG, “Phishing Activity Trends Report, 4th Quarter 2022”
[5] 국가정보원, “국정원, 北의 ‘네이버 복제 피싱사이트’ 주의 당부”
[6] MANDIANT, “The Fresh Phish Market:Behind the Scenes of the Caffeine Phishing-as-a-Service Patform”
[7] Kaspersky, “Phishing-kit market: what’s inside “off-the-shelf” phishing packages
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 리버싱 및 악성코드 분석 관련된 연구를 수행하고 있다.