2022년 2분기 DNS에 대한 Akamai의 인사이트

그림 2에서 디바이스 중 12.3%가 잠재적으로 감염됐고, 63%가 멀웨어 활동, 32%가 피싱, 5%가 C2과 관련된 위협에 노출됐음을 확인할 수 있습니다. 멀웨어 관련 도메인에 접속했다는 것만으로 이런 디바이스가 실제로 감염되었다고 확언할 수는 없지만, 위협을 적절히 완화하지 않았다면 잠재적 리스크가 증가했을 가능성이 매우 큽니다. 하지만 C2 관련 도메인에 접속했다면 디바이스가 감염되었을 가능성이 가장 높고 C2 서버와 통신하고 있음을 나타냅니다. 이는 멀웨어에 비해 C2의 인시던트가 더 적은 이유를 설명합니다.

피싱 공격 캠페인 

2022년 2분기 중 피싱 사기에서 악용되고 사칭 되는 브랜드를 업계와 피해자 수별로 분류해 보면, 하이테크와 금융 브랜드가 각각 36%와 47%로 가장 큰 비중을 차지합니다(그림 3). 이들 주요 피싱 업계 카테고리는 하이테크 및 금융 브랜드가 각각 32%와 31%로 선두를 차지했던 2022년 1분기 결과와 일치합니다. 

2022년 2분기에 발생한 공격 건수를 파악하여 피싱 환경을 다각도에서 관찰한 결과에서도 하이테크와 금융 브랜드가 각각 36%와 41%로 가장 많이 공격을 받고 있었습니다(그림 3). 공격 건수와 피해자 수와 관련하여 주요 대상 브랜드 간 상관관계를 살펴보면 공격자는 유감스럽게도 노력과 리소스를 통해 효과적으로 원하는 결과를 달성하고 있습니다.

Akamai의 연구는 피해자가 악성 링크를 클릭하여 피싱 방문 페이지로 이동하게 만드는 모니터링 대상 피싱 공격을 실행하는 데 사용되는 분산 채널을 볼 수 없습니다. 하지만 공격 건수와 피해자 수별 다양한 브랜드 업종 간 강력한 상관관계가 있다는 것은 공격 규모가 효과적이며 피해자 수에서 비슷한 트렌드를 일으킨다는 것을 보여주는 것일 수 있습니다. 상관 관계에서 분산 채널이 공격 결과에 끼치는 영향이 가장 적고 공격 규모가 성공에 가장 중요한 역할을 한다는 것을 유추할 수도 있습니다.

소비자 vs 비즈니스 계정별로 공격 캠페인을 분류하여 피싱 공격을 상세히 분석하면 공격 캠페인 중 80.7%가 소비자 공격을 노린다는 것을 알 수 있습니다(그림 4). 소비자 계정에 대한 공격이 주를 이루는 이유는 암시장에서 사기 관련 2차 공격을 개시하는 데 사용되는 감염된 소비자 계정에 대한 수요가 크기 때문입니다. 하지만 비즈니스 계정에 대한 공격은 공격 캠페인 중 19.3%에 불과하지만 일반적으로 보다 집중적이고 심각한 피해를 줄 수 있기 때문에 비즈니스 계정에 대한 공격을 과소평가해서는 안 됩니다. 비즈니스 계정에 대한 공격이 발생하면 멀웨어나 랜섬웨어로 기업 네트워크가 감염되거나 기밀 정보가 유출될 수 있습니다. 직원이 피싱 이메일의 링크를 클릭하여 시작된 공격은 기업에 심각한 금융 및 평판 피해를 입힐 수 있습니다.

피싱 툴킷 

피싱 공격은 매우 일반적인 기법으로서 오랫동안 사용되고 있습니다. 관련된 잠재적 영향과 위험은 인터넷 사용자 대부분에게 잘 알려져 있습니다. 그럼에도 불구하고 피싱은 여전히 매우 효과적으로 위험한 공격 기법으로서 매일 수많은 사용자와 비즈니스에 영향을 주고 있습니다. Akamai의 연구는 이러한 현상에 대한 일부 이유를 설명하고 피싱 공격을 효과적이고 유의미하게 만드는 데 피싱 툴킷과 그 역할을 집중 소개합니다. 

피싱 툴킷을 사용하면 알려진 브랜드를 사칭하는 가짜 웹사이트를 빠르고 쉽게 만들 수 있습니다. 기술을 잘 모르더라도 피싱 툴킷을 사용하여 피싱 사기를 실행할 수 있으며 많은 경우 피싱 툴킷이 사용되고 있습니다. 이러한 툴킷은 저렴하고 쉽게 구할 수 있기 때문에 지난 몇 년 동안 피싱 공격이 증가했습니다. 

현장에서 사용되고 있는 피싱 툴킷 290가지를 추적한 Akamai의 연구에 따르면 2022년 2분기에 추적 대상 툴킷 중 1.9%가 72일 이상 재사용됐습니다(그림 5). 더불어 툴킷 중 49.6%가 5일 이상 재사용됐으며 추적 대상 툴킷을 모두 고려하면 2022년 2분기 동안 툴킷이 재사용된 일수는 3일 이상입니다.

관찰된 피싱 툴킷이 높은 빈도로 재사용되는 현상을 보여주는 수치를 통해 피싱 위협 환경과 규모를 어느 정도 파악할 수 있으며 이는 보안 담당자에게 큰 도전 과제가 되고 있습니다. 피싱 툴킷을 재사용하는 배후에는 피싱 환경을 움직이는 공장과 경제 세력이 있습니다. 이들 중에는 알려진 브랜드를 사칭하는 피싱 툴킷을 만든 후 판매하거나 공유하여 위협 행위자들이 피싱 툴킷을 최소한의 노력으로 반복 재사용하게 하는 개발자들이 있습니다.

2022년 2분기에 각 피싱 툴킷을 전달하는 데 사용된 다양한 도메인의 개수를 파악한 분석에 따르면 Kr3pto 툴킷을 가장 많이 사용됐으며 500여 개 도메인에 연계되어 있었습니다(그림 6). 추적된 툴킷은 악용된 브랜드나 툴킷 개발자 서명이나 키트 기능을 대표하는 일반적인 이름별로 분류됐습니다.

Kr3pto의 경우 배후는 금융 기관과 기타 브랜드를 겨냥한 고유 키트를 개발하고 판매하는 피싱 키트 개발자입니다. 일부 경우 툴킷은 영국 내 금융 기관을 노렸고 MFA를 우회했습니다. 이 증거는 해당 피싱 툴킷이 3년 이상 전에 처음 개발되었으며 현장에서 여전히 강력하고 효과적으로 사용되고 있음을 보여줍니다.

피싱 경제가 성장함에 따라, 툴킷 개발과 배포가 더욱 쉬워지고, 웹에는 버려져서 쉽게 악용될 수 있는 웹사이트와 취약한 서버와 서비스가 가득합니다. 범죄자들은 이러한 약점을 이용하여 매일 수천 명의 사람과 비즈니스에 피해를 줄 수 있는 기반을 구축합니다.

새로운 피싱 툴킷이 몇 시간 내에 개발되어 배포되는 피싱 툴킷 개발 및 판매 산업이 성장하고 개발자와 사용자가 분리되면서 피싱 위협이 조만간 사라지지는 않을 것입니다. 피싱 공장의 위협은 개인을 공략하여 귀중한 계정을 해킹하고 개인 정보를 범죄자에게 판매할 뿐만 아니라 브랜드와 관계자도 노리고 있습니다.

일반적인 피싱 도메인의 수명은 며칠이 아니라 몇 시간에 불과합니다. 하지만 피싱 툴킷 개발자가 새로운 기법과 개발을 통해 수명을 조금씩 늘림에 따라 피해자가 계속 발생하고 피싱 경제가 성장하고 있습니다. 

요약

이러한 유형의 연구는 온라인상에서 고객을 더욱 안전하게 보호하기 위해 필요합니다. Akamai는 앞으로도 이러한 위협을 모니터링하고 업계에 정보를 제공할 것입니다.

Akamai로부터 최신 정보와 연구를 받아보려면 Akamai Security Intelligence Group Akamai 보안 연구팀을 팔로우하시기 바랍니다.