피싱을 이용한 해킹 어떻게 가능할까?

피싱, 알면서도 당하는 해킹이다.

 

한 인터넷 신문사의 트위터가 해킹 되었다는 소식이 들려온다. 그동안 여러 기업의 트위터 계정이 해킹 되었기에 새로운 소식은 아니다. 그런데 이들은 자신들이 어떻게 트위터 계정을 탈취 당했는지 세부적인 과정을 공개했다. 따라서 사례로서 충분히 연구할 가치가 있다.

 

해킹 방법은 간단하고도 효율적이었다. 바로 우리가 일상적으로 쉽게 접하는 이메일을 이용한 피싱이었다. 많은 사람들이 피싱기법에 대해 인지하고 있음에도 불구하고 이러한 기법에 속아 넘어갔다. 한마디로 눈 뜨고 해킹을 당한 형국이다. 

 

이 글을 읽는 독자 중의 얼마나 많은 사람이 '자신은 피싱을 완벽히 감지해 낼 수 있다'고 자랑할 수 있을까 ? 친숙하게 그러나 은밀히 보내지는 피싱 메일 앞에 무기력하게 당하는 것이 자신의 모습일지도 모른다.

 

 

 

피싱 기법에 속아 넘어가지 않을거라 누가 장담할 수 있을까?, Image source: pixabay.com

 

 

인터넷 신문사, Onions이 간단한 피싱 기법에 자신들의 트위터 계정을 해킹 당했다. 해킹된 과정은 다음과 같다.

 

신랄한 풍자로 유명한 인터넷 신문사인 The Onion이 해킹 당했다. 시리아 정부를 위해 일하는 시리아 전자군에서 이 신문사의 계정을 해킹 후 허위 트윗을 날렸다. "유엔이 시리아 정부가 화학 무기를 사용 했다는 보고서를 철회 했다"는 등의 놀라운 소식이 네티즌들에게 전달되어 혼란을 야기했다.

 

The Onion의 트위터 계정이 피싱으로 탈취된 과정은 다음과 같다(출처: Computer World, The Onions).

 

1. 시리아전자군(SEA, Syrian Electronic Army)이 아래의 피싱 메일을 신문사 직원들에게 보내기 시작했다.

 

 

피싱 메일 내용, 이하 Image source: The Onion

 

위의 이메일은 워싱턴 포스트지에 실려 있는 중요한 기사를 안내해 주는 일상적인 이메일이다. 화면에 파란색으로 나와 있는 URL을 보니 washingtonpost.com이 선명하게 나와 있어 출처를 의심하지 않아도 될 듯하다.

 

그런데 위의 링크를 클릭하면 실제로는 해커가 지정한 "http://hackedwordpresssite.com/theonion.php"로 이동된다. 화면에 표시된 링크와 실제로 연결되는 링크가 다른 것이다. 이건 누구라도 HTML Tag을 통해 구현할 수 있다.

 

위의 링크를 보기 위해서는 이메일 계정에 로그인해야 한다. 사람들은 링크를 클릭한 후 해커의 가짜 로그인 화면을 접하게 되며, 속아 넘어가는 사람들은 자신의 게정과 비밀번호를 그대로 입력한다. 이후 연결되는 링크는 아래처럼 실제의 Gmail이니 사람들은 자신이 해커의 가짜 페이지에 다녀 갔는지조차 모를수도 있다. 

 

http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://

 

 

2. 일부 직원이 이 피싱 메일의 링크를 클릭했다.

 

위의 이메일은 상당수의 The Onion 직원들에게 발송 되어졌고 한 직원이 이걸 클릭했다. 그러면서 자신이 갖고 있는 정규 Gmail 계정의 이름과 비빌번호를 입력했다. 해커의 가짜 홈페이지에서 Gmail을 로그인 했기에 해당 정보는 그대로 해커에게 넘어갔다.

 

3. 탈취된 내부 직원의 이메일 계정을 통해 피싱 메일을 다시 보냈다.

 

해커는 탈취한 내부 직원의 Gmail 계정에 로그인 해 피싱 이메일을 다시 직원들에게 보내기 시작했다. 내부 직원의 계정으로 전달되는 이메일이기에 많은 직원들이 피싱 메일을 신뢰하고 클릭하기 시작했다.

 

그러나 대부분의 직원들은 이 링크를 통한 Gmail 로그인에 대해 의문을 품고 경계했다. 불행히도 2명의 직원은 의심없이 해커의 가짜 웹 페이지에서 Gmail을 로그인 했고 이 과정에서 또 다른 이메일 계정이 탈취 되었다.

 

4. 보안 위협을 감지한 회사 안내 메일을 흉내낸 피싱 메일을 다시 보내 또다시 계정을 탈취했다. 드디어 트위터 관리용 계정까지 유출되었다.

 

The Onion에서 피싱 메일의 존재를 감지하고 회사 전 직원들에게 자신들의 이메일 계정 비밀 번호를 바꿀 것을 요청하는 메일을 보냈다. 그런데 이를 인지한 해커는 이 이메일과 동일한 메시지를 다시 직원들에게 보냈다. 물론 해커의 이메일에 들어있는 비밀번호 재설정 링크는 해커의 가짜 홈페이지에 연결되는 것이었다.

 

그런데 해커는 가짜 안내 이메일이 IT 보안 관련 담당자에게는 전달되지 않도록 수신처를 세심히 조정했다. 따라서 회사는 피싱 메일이 다시 직원들에게 전달되는 걸 쉽게 인지하지 못했다. 

 

이 과정에서 2개의 내부 Gmail 계정이 추가로 유출 되었고, 그 중에는 The Onion의 트위터 관리용 계정도 포함 되었다. 여러 과정을 통해 드디어 The Onion의 트위터가 해킹된 것이다.

 

 

피싱을 이용한 해킹, 다음과 같이 예방하자.

  

위의 사례를 자세히 읽어 보면 해커가 간단한 방법으로 해킹 했음을 알 수 있다. 고도의 복잡한 기법이 아니다. 단순히 가짜 이메일을 보내 자신들의 홈페이지에서 로그인 하도록 한 것이다.

 

따라서 이러한 피싱 해킹 방법은 누구라도 할 수 있다. 심지어 조금의 컴퓨터 지식만 있다면 초등학생조차 시도할 수 있을 것이다.

 

이러한 해킹을 방지하려면 내부 직원들에게 피싱 해킹 기법에 대해 자세히 안내하고 수상한 인터넷 링크는 함부로 클릭하지 않도록  교육 해야 한다.

 

그리고 트위터처럼 회사에 중요한 계정은 일반 이메일 계정과는 별도로 독립적으로 관리해야 한다. 일반 이메일용으로 사용치 않고 그걸 접근하는 사람과 시스템을 분리 운영해야 한다. 강력한 비밀번호 조합을 이용하는 것은 당연할 것이다.

 

그리고 트위터 계정에 로그인 할 때 일반 웹이 아닌 앱을 통해 접속할 필요가 있다. 피싱 해킹이 웹을 통한 로그인 과정을 통해 계정 정보가 유출되기 때문이다. HootSuite라는 앱을 The Onion은 권고하고 있다.

 

 

피싱 기법을 이용한 해킹은 간단하면서도 효율적이고 당하기 쉽다. 그러나 세심한 주의를 기울인다면 충분히 막을 수 있는 것이기도 하다. 따라서 민방위 훈련처럼 가상 상황을 만들어 내부 직원들을 훈련 시키는 것도 좋을 것이다.

 

유비무환이라는 말이 있는 것처럼 미리 대비하는 곳은 피싱 해킹의 안전 지대가 될 수 있다. 지금 당장이라도 자신들의 관리 실태를 돌아보고 개선하자. 그것이 사이버 보안에 대비하는 현명한 지혜일 것이다.