Cloudflare의 2023 피싱 위협 보고서 소개

43개국에서 수천 명에게 피해를 입힌 '서비스형 피싱' 작전을 차단한 후, 인터폴에서는 최근 "피싱과 같은 사이버 공격은 본질적으로 국경이 없고 가상이지만, 피해자에게 미치는 영향은 실제적이고 파괴적입니다"라고 지적했습니다. FBI에 따르면 (예를 들어) 수신자를 속여 자금을 이체하도록 만드는 맬웨어 없는 공격의 일종인 비즈니스 이메일 손상(BEC)으로 인해 전 세계에 걸쳐 피해자들이 500억 달러 이상의 피해를 입었다고 합니다.

성공적인 사이버 공격의 90%가 이메일 피싱에서 시작되는 것으로 추정되며, 피싱으로 공격자는 계속해서 높은 수익을 얻습니다. 현재로서는 피싱 시도를 막기 위해 할 수 있는 일이 많지 않습니다. 그러나 성공적인 공격을 방지하려면 공격자가 '알려진' 이메일 발신자에 대한 피해자의 신뢰를 교묘하게 악용하는 방법을 포함하여 진화하는 피싱 동향을 이해하고 (선제적으로) 대응하는 것이 중요합니다. Cloudflare에서는 이를 위해 이번 주에 첫 번째 피싱 위협 보고서를 발표했습니다.

이 보고서에서는 2022년 5월부터 2023년 5월까지의 이메일 보안 데이터를 기반으로 주요 피싱 동향과 관련 권장 사항을 살펴봅니다. 이 기간 동안 Cloudflare에서는 약 130억 건의 이메일을 처리했으며, 여기에는 약 2억 5천만 개의 악의적 메시지가 고객의 받은 편지함에 도달하는 것을 차단하는 것도 포함됩니다. 이 보고서는 또한 북미, 유럽-중동-아프리카, 아시아 태평양 지역의 보안 의사 결정권자 316명을 대상으로 Cloudflare에서 의뢰하여 실시한 설문조사를 바탕으로 작성되었습니다(여기에서 별도의 연구를 다운로드할 수 있습니다).

보고서 전문을 확인하여 세 가지 주요 내용을 알아보세요.

• 공격자들이 가장 많이 사용하는 피싱 수법으로 사기성 링크를 사용하는 방법, 클릭을 유도하는 방법, 링크를 무기화하는 방법 등이 진화하고 있습니다.
• 신원 속임수는 다양한 형태(비즈니스 이메일 손상(BEC) 및 브랜드 가장 포함)로 이루어지며 이메일 인증 기준을 쉽게 우회할 수 있습니다.
• 공격자는 수백 개의 다양한 조직으로 가장하지만, 주로 가장하는 것은 우리가 신뢰하는 엔티티 그리고 업무를 수행해야 하는 엔티티입니다.

2023년 피싱 위협 보고서를 읽을 때 염두에 두어야 할 몇 가지 사항은 다음과 같습니다.

이메일 위협 분류

공격자는 일반적으로 소셜 엔지니어링과 기술적 난독화 기법을 조합하여 메시지를 합법적인 것처럼 보이게 합니다. 따라서 Cloudflare에서는 여러 가지 고급 감지 기술을 사용하여 육안으로 보이는 콘텐츠뿐만 아니라 "퍼지" 신호까지 분석하여 원치 않는 이메일을 식별합니다. 이러한 신호에는 다음이 포함됩니다.

• 구조 분석을 수행하여, 피싱 신호를 감지하도록 설계된 휴리스틱 및 머신 러닝 모델을 통해 제목, 본문, 이미지, 링크, 첨부 파일, 페이로드 등을 분석합니다.
• 감정 분석을 통해 패턴 및 행동(예: 작성 패턴 및 표현)의 변화를 감지합니다.
• 신뢰 그래프를 통해 파트너 소셜 그래프, 이메일 전송 기록, 잠재적인 파트너 사칭을 평가합니다.

Cloudflare 이메일 보안 서비스에는 매일 평균 1,400억 건의 사이버 위협을 차단하는 Cloudflare의 전역 네트워크의 위협 인텔리전스도 통합되어 있습니다.

이러한 신호와 기타 여러 가지 신호를 통해 악의적, BEC, 스푸핑, 스팸으로 분류되는 이메일은 Cloudflare의 대시보드를 통해 특정 이메일 분류에 대한 구체적인 이유(즉, 위협 지표 '카테고리')를 고객에게 알려줍니다.

아래 2022년 5월 2일부터 2023년 5월 2일까지 관찰한 주요 이메일 위협 지표의 스냅샷이 나와 있습니다. 위협 지표를 30개 이상의 다양한 범주로 분류하였으며, 해당 기간 동안 가장 많이 관찰된 위협 지표에는 사기성 링크, 도메인 사용 기간(신규 등록 도메인), 신원 속임수, 자격증명 수집, 브랜드 가장 등이 포함됩니다.

다음은 각 상위 카테고리에 대한 간략한 설명입니다(자세한 내용은 보고서의 부록에서 확인할 수 있습니다).

속임수 링크를 클릭하면 사용자의 기본 웹 브라우저가 열리고 링크에 참조된 데이터가 렌더링되거나 애플리케이션이 직접 열립니다(예: PDF). HTML에서 링크의 표시 텍스트(즉, 하이퍼텍스트)는 임의로 설정할 수 있으므로 공격자는 실제로는 악의적 사이트임에도 불구하고 정상 사이트로 연결되는 것처럼 URL을 표시할 수 있습니다.

도메인 사용 기간은 도메인에 할당된 전체 점수인 도메인 평판과 관련이 있습니다. 예를 들어 도메인 등록 직후 새 이메일을 많이 보내는 도메인은 평판이 좋지 않아 점수가 낮아지는 경향이 있습니다.

신원 속임수는 공격자 또는 악의적인 의도를 가진 사람이 자신이 다른 사람이라고 주장하는 이메일을 발송하는 경우에 발생합니다. 이 메커니즘과 전술은 매우 광범위합니다. 일부 전술에는 비슷해 보이는 도메인을 등록하거나(도메인 가장이라고 함), 스푸핑하거나, 신뢰할 수 있는 도메인에서 보낸 것처럼 보이도록 이름 표시 트릭을 사용하는 것 등이 있습니다. 도메인 프론팅 및 평판이 높은 웹 서비스 플랫폼을 사용하여 이메일을 전송하는 방법도 있습니다.

자격 증명 수집 도구는 공격자가 사용자를 속여 로그인 인증 정보를 제공하도록 유도하기 위해 설정합니다. 사용자가 인지하지 못한 상태에서 인증 정보를 입력하면 결국 공격자가 계정에 액세스할 수 있게 됩니다.

브랜드 가장은 공격자가 유명 회사나 브랜드를 가장하는 피싱 메시지를 보내는 신원 속임수의 한 형태입니다. 브랜드 가장은 다양한 기법을 사용하여 수행됩니다.

이메일의 첨부 파일로, 공격을 위해 열리거나 실행될 때 클릭 유도 문안(예: 피해자가 링크를 클릭하도록 유도)이 포함되어 있거나 공격자가 설정한 일련의 작업을 수행하게 됨.

Cloudflare는 하나의 피싱 이메일에서 여러 위협 지표를 정기적으로 관찰합니다. 예를 들어, 실리콘 밸리 은행을 테마로 한 피싱 캠페인(본 2023년 3월 블로그에 자세히 설명됨)은 브랜드 가장과 속임수 링크 및 악의적 첨부 파일을 결합했습니다.

공격자들은 DocuSign인 테마 템플릿에서 SVB 브랜드를 활용했습니다. 이메일에는 초기 링크와 4단계로 구성된 복잡한 리디렉션 체인이 들어있는 HTML 코드가 포함되어 있었습니다. 공격에 포함된 HTML 파일은 수신자를 재귀적 리디렉션 기능이 있는 WordPress 인스턴스로 보냈을 것입니다.

(링크와 관련하여, 속임수 링크는 감지된 위협의 35.6%에 나타나는 가장 큰 위협 범주였습니다. 공격자는 이메일 채널의 링크만 사용하는 것이 아니라 SMS/문자, 채팅, 소셜 미디어 등 다른 앱을 악용하는 멀티 채널 피싱 위협의 증가도 보고서에 포함되어 있습니다).

신뢰할 수 있는(그리고 가장 많이 가장하는) 브랜드

실리콘 밸리 은행은 2022년 5월부터 2023년 5월까지 Cloudflare 고객을 대상으로 한 이메일에서 가장된 약 1,000개의 브랜드 중 하나에 불과했습니다(2022년 7월에Cloudflare One 제품군에서 차단된"Oktapus" 피싱 공격에서 브랜드 가장을 통해 직접적인 표적으로 삼았던 것은 Cloudflare 직원들이었습니다).

그러나 피싱 위협 보고서에서 자세히 설명한 바와 같이 이메일 공격자들은 20개의 유명 글로벌 브랜드 중 하나를 가장하는 경우가 가장 많았으며(51.7%), 그 중 Microsoft가 1위를 차지한 것으로 관찰되었습니다.

순위	가장한 브랜드
1	Microsoft
2	세계보건기구
3	Google
4	SpaceX
5	Salesforce
6	Apple
7	Amazon
8	T-Mobile
9	유튜브
10	MasterCard
11	Notion.so
12	Comcast
13	Line Pay
14	MasterClass
15	Box
16	Truist Financial Corp
17	Facebook
18	Instagram
19	AT&T
20	Louis Vuitton

예: Microsoft 자격 증명 수집 시도

올해 초, Cloudflare에서는 합법적이지만 손상된 사이트를 통해 자격 증명을 수집하기 위해 Microsoft 브랜드를 활용하는 피싱 캠페인을 감지하고 차단했습니다.

아래 이메일 예시에서는 이메일의 외관과는 달리 본문에 텍스트가 없습니다. 본문 전체는 하이퍼링크된 JPEG 이미지입니다. 따라서 수신자가 본문의 아무 곳이나 클릭하면(링크를 클릭할 의도가 없더라도) 사실상 링크를 클릭한 것이 됩니다.  

처음에는 이 이미지의 하이퍼링크가 정상적인 Baidu URL인 것처럼 보입니다 - hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<수신자의 이메일 주소 base64 암호화됨>. 하지만 이 링크를 클릭하면 표적의 브라우저는 손상되어 자격 증명 수집 도구를 호스팅하는 데 사용된 사이트로 리디렉션 됩니다.

공격자는 Microsoft Office 365 브랜딩을 사용했지만, 이미지 내에 브랜드 정보를 포함시켜 브랜드 감지 기술을 우회하려고 시도했습니다(즉, 브랜드를 식별하기 위해 검사할 수 있는 일반 텍스트 또는 HTML 텍스트가 없었음).

그러나 Cloudflare에서는 광학식 문자 인식(OCR)을 사용하여 이미지에서 "Office 365"와 "Microsoft"를 식별하는 데 성공했습니다. 또한 OCR을 사용하여 비밀번호와 관련된 의심스러운 계정 미끼를 사용했다는 것도 확인했습니다.

이 예시에서 공격자의 기법에는 다음 내용이 포함되어 있습니다.

• JPEG 이미지만 포함(OCR 없이는 단어 감지 불가능)
• 해당 이미지에 하이퍼링크 포함(본문의 아무 곳이나 클릭하면 링크가 클릭됨)
• Baidu URL 하이퍼링크(평판 기반 URL 감지 기술을 우회하는 데 사용)
• 수신자의 브라우저를 인증 정보 수집 사이트로 리디렉션하는 Baidu URL(즉, 딥링크 검사를 수행할 수 없는 다른 이메일 보안 방어를 우회할 수 있음)
• 공격자가 손상시킨 합법적인 사이트에서 자격 증명 수집 도구를 호스팅(딥링크 검사를 사용하더라도 평판에 기반한 URL 감지 기법을 다시 우회하려고 시도)  

이 공격 벡터는 Baidu의 높은 평판과 신뢰도를 활용하여 자격 증명 수집 도구가 호스팅되는 실제 호스트/IP의 평판을 우회합니다.  

이 특정 캠페인은 Microsoft 자격 증명을 수집하는 데 중점을 두었지만, 공격자들이 유사한 방법을 사용하여 브랜드 감지 기술을 우회하고 피해자를 속여 맬웨어 및 기타 악의적인 페이로드를 다운로드하도록 유도하는 것을 우리는 종종 목격합니다.

URL 리디렉션 기법은 피싱 캠페인에서 자주 볼 수 있지만, 위협 공격자들은 baidu.com, bing.com, goo.gl 등 합법적인 도메인을 점점 더 많이 악용하여 접근 방식을 계속 개선하고 있습니다. 우리는 다양한 감지 기능을 통해 합법적인 도메인을 악용하는 것을 포함하여 모든 종류의 리디렉션 기술을 사용하는 URL에 대한 딥링크 검사를 수행할 수 있습니다.

SPF, DKIM, DMARC는 어떤가요?

이메일 인증(특히 SPF, DKIM, DMARC 표준)은 종종 브랜드 가장에 대하여 유용한 것으로 언급되는데, 이들 표준은 서버 및 테넌트의 원본을 확인하고, 메시지 무결성을 보호하며, 정책을 시행하는 등의 기능을 제공합니다.

그러나 공격자는 여전히 인증을 우회하여 이메일 제품군을 속이는 방법을 찾을 수 있으며, 실제로 원치 않는 메시지의 89%가 SPF, DKIM 및/또는 DMARC 검사를"통과"한 것을 관찰한 바 있습니다.

이메일 인증의 몇 가지 제약은 다음과 같습니다.

SPF (발신자 정책 프레임워크)	주요 이점: 서버 원본 확인(즉, 메시지의 발신지 확인) 도메인 소유자를 대신하여 메시지를 보낼 수 있는 이메일 서버 및 서비스 정의
	한계: 유사 이메일, 도메인, 표시 이름 스푸핑을방지하지 못함 "발신자" 헤더의 유효성을 검사하지 않고 "발신자" 봉투를 사용하여 발신 도메인을 확인 이메일이 전달되거나 메일링 리스트에 전송된 메시지가 각 구독자에게 전송될 때 유효성 검사가 비효율적임 SPF 평가 프로세스가 특정 수의 DNS 조회로제한될 수 있음 URL, 악의적인 페이로드 또는 첨부 파일이 포함된 '검증된' 이메일을 사용한 공격으로부터 보호하지 못함
DKIM (도메인 키 식별 메일)	주요 이점: 테넌트 원점 유효성 검사 제공(즉, 디지털 서명을 통해 도메인 소유자가 이메일을 전송/승인했는지 확인) 서버 간에 전송되는 동안 이메일이 변경되지 않도록 보장하고 메시지 무결성을 보호
	한계: 유사 이메일, 도메인, 표시 이름 스푸핑을 방지하지 못함 재전송 공격으로부터 보호하지 못함 (DKIM은 메시지의 특정 부분에만 서명합니다. 공격자는 DKIM을 통과하는 이메일에 다른 헤더 필드를 추가한 다음 이를 전달할 수 있습니다.) URL, 악의적인 페이로드, 첨부 파일이 포함된 '검증된' 이메일을 사용한 공격으로부터 보호하지 못함
DMARC (도메인 기반 메시지 인증, 보고, 규정 준수)	주요 이점: SPF 및 DKIM에 대한 정책 시행 및 보고 제공 이메일이 SPF 또는 DKIM 인증을 통과하지 못하는 경우 따라야 할 정책을 규정함(예: 거부/삭제, 격리, 정책 없음/전송) 보고 기능을 통해 도메인 소유자는 누가 자신을 대신하여 이메일을 보내는지 확인할 수 있음(예: 자신의 도메인 스푸핑 및 브랜드 가장 방지)
	한계: 다른 브랜드 도메인의 스푸핑을 방지하지 못함 유사 이메일, 도메인, 표시 이름 스푸핑을 방지하지 못함 도메인 소유자는 메일 DMARC 정책의 적용 비율을 지정함. 100% 미만의 애플리케이션 비율은 효과가 떨어짐 URL, 악의적인 페이로드, 첨부 파일이 포함된 '검증된' 이메일을 사용한 공격으로부터 보호하지 못함

결론

공격자들은 끊임없이 전술을 진화시키고 있습니다. 메시지가 받은 편지함에 도착하기 전, 도착하는 동안, 도착한 후에 다중 보호 계층을 구축해야 합니다. Cloudflare에서는 모든 유형의 이메일 통신(내부, 외부, '알려진' 비즈니스 파트너가 보낸 것으로 보이는지 여부와 관계없이)을 본질적으로 "신뢰"하지 않습니다.

마찬가지로, 무엇보다도 모든 조직에서 "절대 신뢰하지 말고 항상 확인하라" 는 Zero Trust 보안 모델을 네트워크와 애플리케이션 뿐만 아니라 이메일 받은 편지함까지 확장할 것을 권장합니다.

Zero Trust 접근법으로 이메일을 보호하는 것 외에도 우리는 다음 사항을 권장합니다.

• 다양한 피싱 방지 제어 기능으로 클라우드 이메일 강화. 지난 6월에 이 Forrester 블로그에서 언급했듯이, "여러 장치에서 메시징, 협업, 파일 공유, 엔터프라이즈 서비스형 소프트웨어 애플리케이션의 사용은 모두 직원의 생산성과 경험에 기여합니다. 이러한 환경의 대부분은 '폐쇄적'인 것으로 간주되지만, 공급망 파트너의 자격 증명 하나의 피싱에 성공하면 조직은 데이터 손실, 자격 증명 도용, 사기, 랜섬웨어 공격에 노출될 수 있습니다. 이메일 받은 편지함을 위해 개발된 보호 기능을 이러한 환경과 직원의 일상적인 워크플로우 전반으로 확장해야 합니다."
• 피싱 방지 다단계 인증(MFA) 도입. 모든 MFA가 동일한 보안 계층을 제공하는 것은 아니지만, 하드웨어 보안 키는 피싱 공격을 성공적으로 방지하는 가장 안전한 인증 방법 중 하나입니다. 하드웨어 보안 키는 공격자가 사용자 이름과 비밀번호에 액세스하더라도 네트워크를 보호할 수 있습니다.
• 사람이 실수하기 어렵게 만드세요. 직원과 팀이 이미 사용하고 있는 도구를 더욱 안전하게 보호하고 실수를 방지하여 직원과 팀이 업무에 집중할 수 있도록 하세요. 예를 들어 원격 브라우저 격리(RBI) 기술을 클라우드 이메일 보안과 통합하면 의심스러운 이메일 링크를 자동으로 격리하여 사용자가 잠재적인 악의적 웹 콘텐츠에 노출되는 것을 방지할 수 있습니다. 또한 신뢰할 수 없는 웹 사이트에서 키보드 입력을 비활성화하여 사용자가 양식 작성 또는 자격 증명 수집 중에 실수로 중요한 정보를 입력하지 않도록 보호할 수 있습니다. 이를 통해 사용자는 워크플로우를 방해하지 않고 링크를 안전하게 열 수 있어 멀티 채널 피싱 공격에 대한 방어 계층을 효과적으로 확보할 수 있습니다.

전체 분석 결과에 관심이 있는 경우 여기에서 2023년 피싱 위협 보고서와 성공적인 피싱 공격을 방지하기 위한 권장 사항을 다운로드할 수 있습니다. Cloudflare의 이메일 보안이 실제로 작동하는 모습을 보고 싶다면 여기에서 무료 피싱 위험 평가를 요청할 수 있습니다.