IT 보안/해킹

우영우도 꽂힌 '스피어 피싱'…"친동생 메일도 못 믿는 세상"

뉴스1

입력 2022.08.29 05:30

수정 2022.08.29 09:23

ENA 채널 드라마 '이상한 변호사 우영우' (ENA 공식 유튜브 갈무리)
ENA 채널 드라마 '이상한 변호사 우영우' (ENA 공식 유튜브 갈무리)


드라마 우영우에 등장한 '스피어피싱' 해킹(에이스토리 공식 유튜브 갈무리)
드라마 우영우에 등장한 '스피어피싱' 해킹(에이스토리 공식 유튜브 갈무리)


북한 추정 해커가 보낸 메일 속 첨부파일. '프로그램'을 북한식 영어 표기법에 따라 '프로그람'으로 표시했다. (이스트시큐리티 제공)
북한 추정 해커가 보낸 메일 속 첨부파일. '프로그램'을 북한식 영어 표기법에 따라 '프로그람'으로 표시했다. (이스트시큐리티 제공)


(서울=뉴스1) 오현주 기자 =
"대표님. 저 당한 것 같습니다. '스피어 피싱'(Spear Phising)이요"


# 대형 온라인 쇼핑몰 '라온'에서 일하는 최진표 팀장은 자기소개서를 봐달라는 남동생의 메일을 받았다. 최 팀장은 '형 말대로 자소서 다시 썼어 함 봐줘'라는 제목의 메일을 클릭하고, 첨부된 워드 문서 파일(.docx)을 열었다.

하지만 문서 프로그램 속 [콘텐츠 사용] 버튼을 눌러도 파일은 텅 비었다. 그는 동생과의 통화에서 위장 메일을 받았음을 깨달아 대표에게 알렸고, 대표는 우영우가 일하는 로펌으로 향한다.


◇드라마 '이상한 변호사 우영우' 특정 대상 맞춤 공격 '스피어피싱' 주목

지난 18일 종영된 ENA 드라마 '이상한 변호사 우영우'의 마지막 에피소드 속 첫 장면이다. 드라마는 대형 쇼핑몰이 메일 한 통으로 고객 4000만명의 개인정보를 유출하는 사건을 다뤘는데, 극중 '스피어 피싱' 해킹에 관심이 쏠리고 있다.

'스피어 피싱'은 작살(Spear)처럼 특정 개인·회사를 대상으로 한 해킹이다. 사전 정보를 충분히 수집한 상태에서 정밀하게 공격하는 방식이다.

스피어 피싱은 주로 사칭 메일을 통해 이뤄진다. 북한 연계 해커단체로 추정되는 공격자가 대북 전문가에게 악성코드가 담긴 메일을 보내는 방식이 대표적이다. 악성코드가 기기에 깔리면, 키로거(사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 것)가 작동해 개인정보를 빼낸다.

드라마는 크게 두 가지 사례를 참고한 것으로 분석된다. 대표적인 것은 지난 2016년 고객 2540만명의 개인정보가 유출된 인터파크 해킹 사건이다. 이 사건 역시 업체 직원의 동생을 사칭한 메일을 통해 공격이 시작됐다.

또다른 사례는 지난해 한 방산업체를 겨냥해 불거진 공격이다. 극중 최 팀장이 열람한 악성 문서 파일 내용이 동일해서다. 보안업계 관계자는 "첨부파일에 '프로그램'을 북한식 영어표기법에 따라 '프로그람'으로 넣은 점이 똑같다"며 "악성 매크로 기능이 실행되기 위해 사용자가 [콘텐츠 사용] 버튼을 누르도록 가짜 화면을 노출하고 있는 것도 유사하다"고 말했다.

◇극중 쟁점 '아이들 타임아웃'도 화제…"악성코드 원천 차단 불가"

'아이들 타임아웃'(Idle Timeout)에 대한 관심도 커지고 있다. 극중 쇼핑몰 라온은 '아이들 타임아웃'을 작동시키지 않아 정부기관(극중 방송통신위원회)으로부터 3000억원의 과징금을 받을 위기에 처했기 때문이다.

'아이들 타임아웃'은 시스템에 로그인한 사용자가 일정 시간 활동을 하지 않으면, 자동으로 로그아웃되는 기능이다.

우영우 등 변호사들은 "타임아웃 미설정과 개인정보 유출사이에 인과관계가 성립하지 않는다"고 언급했는데, 보안 전문가 역시 같은 입장이다.


문종현 이스트시큐리티 이사는 "'스피어 피싱'을 당하면 악성 프로그램을 통해 해커가 들어올 수 있는 통로가 열린 상황이라 아이들 타임아웃 설정 여부와 상관없이 개인정보가 유출될 수밖에 없다"며 "'아이들 타임아웃'이 1차적 방어선이 될 수는 있지만, 모든 걸 막을 수는 없다"고 말했다.

잇단 해킹을 막기 위해서는 제로 트러스트('절대로 믿지 말고 늘 확인하라'는 뜻) 원칙에 기반한 메일 관리가 권고된다.


문 이사는 "최근 '투트랙 스피어 피싱' 수법(첫 이메일에는 정상적 업무내용만 보내고, 이후 회신한 사람들에게 악성파일을 보내는 것)도 발견되고 있다"며 "해커가 기존 메일을 수신자가 확인하기 전 취소하고, 바꿔치는 경우도 있어 메일 확인 전 발신자에게 전화하는 것도 예방법"이라고 말했다.

fnSurvey