Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    일본산업뉴스요약

    가짜 로그인 화면을 유저에 맞춰 변경 -- 새로운 수법의 피싱 사기의 위협을 인식하라
    • 카테고리비즈니스/ 기타
    • 기사일자 2025.4.16
    • 신문사 Nikkei X-TECH
    • 게재면 Online
    • 작성자hjtic
    • 날짜2025-04-25 10:28:08
    • 조회수38

    가짜 로그인 화면을 유저에 맞춰 변경
    새로운 수법의 피싱 사기의 위협을 인식하라

    피싱 사기가 여전히 기승을 부리고 있다. 피싱대책협의회에는 매월 10만 건이 넘는 보고가 접수되고 있고, 감소하는 기색은 없다.

    이유 중 하나로 생각할 수 있는 것이 피싱 사기를 지원하는 클라우드 서비스의 존재다. PhaaS(Phishing as a Service, 서비스형 피싱) 등으로 불린다. 피싱 사기를 하고 싶은 공격자는 PhaaS에 요금을 지불한다. 그러면 PhaaS는 공격자의 요구에 따른 메일을 다수의 유저에게 발송해 가짜 로그인 사이트 등으로 유도한다. 유도당한 유저에게 패스워드를 입력하게 하여 패스워드를 훔치고, 이를 공격자에게 제공한다.

    현재는 다수의 PhaaS가 운영되고 있으며 수법은 교묘해지고 있다. 최근에는 모핑 미어켓(Morphing Meerkat)으로 불리는 그룹의 PhaaS가 새로운 수법을 만들어 내 주목을 받고 있다.

    유저가 이용하고 있는 메일 서비스를 특정해, 그 로그인 화면으로 위장한 가짜 화면을 동적으로 생성한다고 한다. 미국의 보안 기업인 인포블록스(Infoblox)가 2025년 3월에 보고했다.

    도대체 어떤 수법일까?

    -- 기업의 메일 계정이 표적이 된다 --
    피싱 사기란 유명 기업 등을 사칭하는 메일(피싱메일)로 유저를 가짜 사이트(피싱사이트)로 유도해 개인정보 등을 입력시키는 인터넷 사기를 말한다.

    피싱 사기라고 하면 개인 유저를 노린 사기라고 생각하기 쉽지만 기업 유저도 노리고 있다. 최근 경향을 보면, 많은 기업이 도입하고 있는 클라우드 메일 서비스가 표적이 되고 있는 것 같다. 메일 서비스의 로그인 화면을 가장한 피싱 사이트로 유도해, 유저 ID나 패스워드를 입력시켜 훔친다.

    공격자는 훔친 패스워드를 사용해 메일 계정을 탈취한다. 그리고 그 계정을 비즈니스 메일 사기(BEC)나 말웨어 배포, 또 다른 피싱 사기 등에 악용한다. 발신처는 기업의 메일 주소이기 때문에 메일을 수신한 사람이 속을 가능성은 매우 높다. 업무 메일을 훔쳐볼 수 있어 정보가 누설될 우려도 있다.

    메일 계정을 훔칠 경우는 유저가 이용하고 있는 서비스의 로그인 사이트로 위장한 가짜 사이트로 유도하는 것이 중요하다. 그래서 모핑 미어캣의 PhaaS에서는 피싱 사이트에 접속한 유저의 메일 서비스를 즉시 판별하고, 그에 맞춰 피싱 사이트를 동적으로 생성해 표시한다. 이러면 유저는 속을 것 같다.

    그럼 어떻게 메일 서비스를 판별할 것인가? 유저가 이용하고 있는 메일 서버를 조사해, 그 도메인으로부터 사용하고 있는 메일 서비스를 판별하는 것이다. 구체적으로는, DNS 서버의 MX 레코드를 조사한다. DNS 서버란 도메인 이름과 IP 주소를 연결하는 서버다. DNS 서버의 MX 레코드에는 특정 도메인이 이용하는 메일 서버의 호스트 이름이 기재되어 있다.

    -- Gmail이나 Outlook 등 114개의 메일 서비스에 대응 --
    구체적인 흐름은 다음과 같다. PhaaS는 공격자의 요구에 맞춘 피싱 메일을 송신한다. 메일을 받은 유저가 메일 속의 링크를 클릭하면 피싱 사이트로 유도된다. 피싱 사이트의 웹페이지에는 유저가 이용하고 있는 메일 서버를 조사하는 스크립트(프로그램)가 설치돼 있다.

    이 스크립트를 유저의 웹 브라우저가 읽게 되면, 미국 구글이나 클라우드플레어(Cloudflare)가 운용하는 퍼블릭 DNS 서버에 접속한다. 그리고 DNS 서버의 MX 레코드로부터 메일 서버의 호스트 이름을 취득해 피싱 사이트에 전달한다. 유저에게 메일 서버를 조사하는 스크립트를 실행시키는 이유는 조사 비용을 유저에게 지우기 위해서라고 한다.

    피싱 사이트는 메일 서버의 호스트 이름에서 메일 서비스를 판별하고, 준비된 템플릿을 사용해 가짜 로그인 화면을 동적으로 생성한다. 준비하고 있는 템플릿 종류는 114개다. 처음에는 Gmail, Outlook, AOL, Office 365, Yahoo! 뿐이었지만 현재는 대부분의 메일 서비스에 대응하고 있다.

    또한 영어, 한국어, 스페인어, 러시아어, 독일어, 중국어, 일본어 등 적어도 12개의 언어에 대응한다. 웹 브라우저의 설정에 맞춘 언어로 로그인 화면을 표시한다.

    가짜 로그인 화면에 유저가 비밀번호를 입력하면, 그것이 맞는지 여부에 관계없이 “패스워드가 무효입니다. 올바른 패스워드를 입력해 주세요"라는 내용의 메시지를 보내준다. 여기서 입력한 패스워드는 피싱 사이트에 도난당한다.

    그리고 다시 한번 유저가 로그인을 시도하면 이번에는 진짜 로그인 사이트로 다시 유도해 유저가 의심하지 않도록 한다.

    기업의 메일 계정을 탈취당하면 피해는 개인에게 그치지 않는다. 기업 전체에 큰 영향을 줄 우려가 있다. 이번에 소개한 것과 같은 수법이 있음을 인식하고 충분히 주의해 주었으면 한다.

    그리고 기업은 만일 패스워드를 도둑맞더라도 계정을 탈취당하지 않도록 다요소 인증(MFA) 등을 도입해 보안을 강화해야 한다.

     -- 끝 --
    Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.

    목록