피싱을 중단하고 암호화된 침출 및 통신을 차단하세요
옛날에는 피싱과 스피어피싱 공격이 크리스마스나 중국 설날과 같은 주요 명절, 중국의 발렌타인데이나 등불축제와 같은 소비자 대상 명절, 미국의 블랙 프라이데이나 사이버 먼데이, 영국과 영연방의 복싱 데이(12월 26 일 ), 아시아의 싱글데이(11월 11 일 )와 같은 특정 시기에만 급증했습니다.
공격자들은 자연 및 인재, 전쟁, 질병, 선거 또는 오늘날 뉴스 주기를 주도하는 모든 이벤트에서 발생하는 FUD(두려움, 불확실성, 의심)를 이용해 악의적인 씨앗을 뿌릴 수 있다는 것을 알아냈습니다.
영국에서 정보 위원회 사무소(ICO)는 2019년 4월부터 2020년 3월까지 사이버 관련 침해의 주요 원인이 피싱이었다고 밝혔습니다. 호주 정보 위원회(OAIC)에 따르면 피싱이 전체 신고 사례 중 36%를 차지하며 가장 많은 비중을 차지했습니다.
그러한 목적을 달성하기 위해 피싱 및 스피어피싱 공격은 전 세계적 팬데믹 위협, 격리 또는 봉쇄 중인 국가, 재택근무를 해야 하는 근로자, 심지어 미국과 다른 국가에서 논란이 되는 선거 등의 영향으로 2020년 내내 급격히 증가했습니다. 심지어 COVID-19에 대한 백신이 준비되었다는 발표조차도 조심스러운 사람들조차도 알 수 없는 출처에서 온 이메일을 열거나 계정이 침해되거나 해킹되었을 수 있는 알려진 출처에서 온 이메일을 열도록 유도하는 데 활용되고 있습니다. 그런 다음 맬웨어 및 기타 악성 공격 벡터를 퍼뜨리고 사용자 및 회사 정보를 훔치거나 중요한 네트워크, 클라우드, 애플리케이션 및 데이터에 불법적으로 액세스할 수 있도록 합니다.
최근 피싱 공격이 급증한 가장 큰 이유 중 하나는 코로나19 팬데믹으로 인해 재택근무가 늘어나는 것입니다. 많은 직원, 계약자 및 기타 직원들이 재택근무나 원격근무를 해야 했고 이로 인해 원치 않는 공격자들의 주의를 끌게 되었습니다. 그들은 원격으로 일하는 사람들이 더 큰 압박을 받고, 경계를 늦추고, 일반적으로 의심을 불러일으킬 만한 이메일의 링크를 클릭하게 될 가능성이 높다는 것을 알고 있었습니다. 또한 재택 근무자는 피싱과 같은 공격으로부터 보호하기 위해 조직에서 일반적으로 사용하는 도구가 없는 BYOD 제품을 사용하고 있을 수도 있다는 사실도 알고 있습니다. 공격자와 해커는 재택 근무자가 보안 소프트웨어를 실행하거나 업데이트하기에 충분한 대역폭을 갖고 있지 않을 수 있으며, 보안 소프트웨어 업데이트를 끄거나 놓칠 수도 있다고 생각합니다. 많은 경우 그들은 옳습니다.
피싱 및 암호화
피싱 공격이 빠르게 증가함에 따라 암호화를 사용하는 피싱 사이트의 수도 이에 맞춰 증가했습니다. F5 Labs에서 최근 발표한 피싱 및 사기 보고서 2020에 따르면 , 피싱 링크의 약 72%가 피해자를 HTTPS로 암호화된 웹사이트로 보냅니다. 즉, 대부분의 악성 피싱 사이트는 이제 유효하고 신뢰할 수 있는 웹사이트로 나타나서 가장 영리한 직원도 쉽게 속일 수 있다는 뜻입니다. 이러한 데이터는 다른 보고서의 조사 결과에 의해서도 입증되었는데, 그 중 하나 가 Venafi의 보고서 인데, 이 보고서는 유효한 인증서를 사용하여 피싱 웹사이트를 유효한 것처럼 보이게 하여 민감한 계정 및 지불 데이터를 도용하는 의심스러운 소매점 유사 도메인을 밝혀냈습니다.
악성 웹사이트만 TLS 암호화를 활용해 설득력 있고 합법적인 것처럼 보이려고 하는 것은 아닙니다. 피싱 공격을 통해 전달된 맬웨어는 피해자와 그들의 조직으로부터 데이터를 훔쳐가는 목적지이기도 합니다. 이러한 목적지를 드롭 존이라고 합니다. F5 Labs의 2020 피싱 및 사기 보고서에 따르면, 2020년 F5 보안 운영 센터(SOC)에서 조사한 드롭 존과 관련된 모든 사고(100%)가 TLS 암호화를 사용했습니다.
암호화된 트래픽에서 위협을 찾는 것은 쉽지 않습니다.
오늘날에는 다양한 각도에서 피싱에 대처할 수 있는 여러 가지 솔루션이 있습니다. 피싱 공격을 인식하고 처리하는 방법을 직원에게 교육하여 공격의 흡수와 효과를 줄이는 솔루션이 있습니다. 이 솔루션은 이메일 보안을 해결하고 스팸, 맬웨어 및 악성 첨부 파일, BEC 공격 등으로부터 보호합니다. 조직의 이메일을 관리하는 서비스가 있습니다. 조직의 웹 트래픽을 프록시하고 복제하거나 모방하고 렌더링할 로컬 장치에 코드를 제공하거나 웹 페이지를 모방하지만 기저에 의심스럽고 악성 코드가 없는 제품도 있습니다.
이러한 것들은 모두 훌륭한 솔루션이지만 암호화된 트래픽을 처리해야 하는 문제가 여전히 있습니다. 트래픽이 암호화된 경우, 맬웨어 및 기타 위험한 코드가 있는지 검사하기 전에 암호를 해독해야 합니다. 이는 피싱 이메일의 악성 링크나 맬웨어에 감염되기 쉬운 링크를 클릭하는 사용자, 악성 코드가 포함된 첨부 파일을 다운로드하는 사용자, "올바른" 암호화 인증서가 있기 때문에 진짜이고 무해해 보이는 악의적인 웹사이트에 액세스하는 사용자 등 조직에 유입되는 암호화된 트래픽, 훔친 데이터를 암호화된 드롭 존으로 보내는 암호화된 트래픽, 더 많은 공격을 시작하기 위한 더 많은 지침이나 트리거를 얻기 위해 명령 및 제어(C2) 서버에 연결하는 암호화된 트래픽에도 동일하게 적용됩니다.
게다가 이는 유럽연합(EU)의 일반 데이터 보호 규정(GDPR), 캘리포니아 소비자 개인 정보 보호법(CCPA) 등 정부의 개인 정보 보호 규정을 고려하지 않은 것이며, 현재 전 세계 국가에서 논의되고 있는 많은 다른 규정에는 일반적으로 사용자의 금융 또는 건강 관리 데이터와 같은 개인 사용자 정보의 복호화를 배제하는 내용이 포함되어 있습니다. 암호화된 트래픽을 해독하려면 이러한 개인정보 보호 규정을 준수해야 하며, 그렇지 않을 경우 이러한 규정을 위반하는 조직은 소송을 당하거나 엄청난 벌금을 내야 할 수 있습니다.
하지만 잠깐만요, 그게 전부가 아닙니다…
그럼에도 불구하고 오늘날의 암호화를 사용하는 피싱 공격에는 조직이 알아야 할 더 많은 것이 있습니다. F5 Labs의 피싱 및 사기 보고서 2020에서는 드롭 존의 55% 이상이 비표준 SSL/TLS 포트를 사용하는 반면, 피싱 웹사이트의 98% 이상이 일반 텍스트 HTTP 트래픽의 경우 포트 80, 암호화된 트래픽의 경우 포트 443과 같은 표준 포트를 사용한다는 사실도 발견했습니다. 즉, 특히 아웃바운드 암호화 트래픽의 경우 표준 포트 스캐닝에만 의존하는 것은 충분하지 않습니다. 배포된 솔루션은 비표준 포트에서 나가는 트래픽을 스캔하고 해독해야 합니다. 이는 중요 데이터의 난독화와 유출을 막기 위해 필수적입니다.
오늘날 피싱 공격으로 인한 암호화된 위협을 차단하기 위해 조직에서는 모든 수신 SSL/TLS 트래픽을 검사하여 악의적이거나 피싱에서 시작된 것으로 추정되는 웹 트래픽이 중단되고 제거되었는지 확인해야 합니다. 그러나 해당 검사에는 금융이나 건강 관련 정보와 같은 민감한 사용자 정보가 포함된 암호화된 트래픽을 지능적으로 우회하여 해독하는 기능이 포함되어야 합니다. 또한 오늘날의 조직에서는 C2 및 드롭 존 서버와의 암호화된 통신을 통한 맬웨어를 차단하고 데이터 유출이나 공격 트리거를 막기 위해 비표준 아웃바운드 웹 포트를 완전히 차단하거나 적어도 모니터링해야 합니다. 보안 스택의 장치에서 지원하는 암호화 유형 등 고려해야 할 다른 주요 사항도 있습니다. 예를 들어, 공격자가 특정 보안 장치가 순방향 비밀성(완벽한 순방향 비밀성 또는 PFS라고도 함)을 지원할 수 없다는 것을 알고 있다면, 이를 이용해 암호화된 트래픽이 보안 장치를 통과하도록 할 수 있습니다. 특히 보안 장치가 스택에 데이지 체인 방식으로 연결되어 있는 환경에서는 이러한 작업이 비용이 많이 들고 위험합니다. PFS를 지원하지 않는 하나의 장치가 트래픽을 우회하면 나머지 체인도 우회하게 됩니다.
이러한 보호 조치가 없고 보안 인식 교육과 이메일 보안 또는 안티피싱 솔루션이 구현되어 있지 않으면 조직은 공격과 침해에 취약해지고, 중요한 회사 데이터와 사용자 데이터가 도난당할 위험이 있습니다.
F5 SSL Orchestrator가 암호화된 트래픽으로 전달되는 보안 사각지대를 어떻게 제거하는지, 그리고 중요 데이터가 유출되고 도난당하는 것을 어떻게 방지하는지에 대한 자세한 내용은 여기를 클릭하여 확인하세요 .