"해커들, 공격 전 검색엔진·SNS 통해 사전 정찰"

[아이뉴스24 최은정 기자] 해커 조직들이 주로 포털 검색엔진, 사회관계망서비스(SNS) 등에서 스피어 피싱 공격 대상의 정보를 탐색·수집하는 것으로 나타났다.

18일 한국인터넷진흥원(KISA)이 공개한 'TTPs#4 피싱타깃 정찰과 공격 자원 분석' 보고서에 따르면 해커는 정치, 사회 등 이슈 관련 정보뿐 아니라 공격 대상의 주변 환경, 주요 인물에 대해 사전 정보를 수집한다.

또 해당 정보를 기반으로 피싱 메일이나 피싱 페이지를 정교하게 만드는데, 이는 일종의 공격 전 선행 작업으로 볼 수 있다.

이번 보고서에 따르면 해커는 기업·기관의 공식 홈페이지 등에 접속해 피싱 메일 수신자의 신원정보를 수집하고, 소속 부서·조직을 염탐했다.

이재광 KISA 침해사고분석단 종합분석팀장은 "실제 과거 침해사고 조사 과정에서 감염 PC·서버를 포렌식 기법으로 조사한 결과, 공격자가 공격 대상의 신원·조직정보를 수집한 정황이 발견됐다"고 말했다.

구체적으로는 브라우저 기록을 확인, 해커의 활동을 알 수 있었다는 설명이다. 일례로 특정 기관 웹사이트 내 소개 페이지를 통해 조직도, 기관 정보, 부서 연락처와 업무사항, 성과·보수제도 등을 해커가 파악했다는 분석이다.

또 해커가 직접 SNS나 이메일 계정을 생성해 정보를 수집하기도 한다. 트위터, 페이스북 등 계정으로 특정 대상(목표 기업, 주요 인물, 보안 동향) 등을 모니터링하는 식이다. 이 역시 공격 전 사전 정보 수집을 위한 것이다.

공격에 사용할 취약점이나 도구를 검색한 이력도 있다. 보고서에 따르면 실제 해커는 '갤럭시 S6 익스플로잇', '테라스 메일 보안 취약점' 등 공격에 사용 가능한 취약점과 '마이크로소프트 익스체인지 서버 구축 방법', 'hwp 뷰어' 등 공격 도구를 막론해 키워드를 검색했다. 관련 검색어 개수만 수십개를 넘는 것으로 나타났다.

국내 정치·경제 동향을 검색해보기도 했다. KISA는 포렌식 분석으로 과거 해커가 '동북아안보정세분석', '한국 코로나19 백신' 등을 검색했다고 보고서를 통해 밝혔다. '안랩 블로그', '알약 블로그' 등 보안 동향을 파악하려한 흔적도 있었다.

이재광 팀장은 "공격자의 해킹 시도를 완벽하게 방어하는 것은 힘들지만 공격 시 해커가 어떤 전략을 갖고 있는지를 알면 각 기업기관 상황에 따라 잘 대응할 수 있을 것"이라며 "보다 넓은 관점에서 사이버 공격 대응책을 고민해야 한다"고 말했다.