Akamai Diversity

Akamai 블로그

실시간 피싱 방어

저는 이전 블로그에서 피싱이 더이상 이메일 문제가 아니라고 언급했습니다. 또한 피싱 툴킷을 저렴한 가격에 쉽게 구입할 수 있게 되면서 피싱의 산업화가 진행되고 있고 공격자가 어떻게 피싱 방어 기법을 우회하고 있는지에 대해 설명했습니다.

이번에는 피싱 공격을 방어하기 어렵게 만드는 공격의 짧은 수명에 대해 말씀드리겠습니다.

 

Akamai의 연구에 따르면 피싱 공격이 정교하고 표적이 명확할수록 공격 기간이 더 짧은 것으로 나타났습니다.

 

피싱 페이지를 식별하고 접속을 차단하는 일반적인 접근 방식은 확인된 피싱 도메인 또는 URL을 블랙리스트에 등록하고 피싱 페이지에 대한 접속을 차단하는 보안 솔루션을 구축하는 것입니다.

 

현재 이 방법을 사용하려면 보안 벤더사는 도메인을 공격하는 비정상적인 트래픽을 관측하고 해당 도메인을 분석하여 피싱 도메인인지 파악한 다음에 이를 블랙리스트에 추가하고 보안 업데이트를 내보내야 합니다.

 

이 과정은 몇 시간이 걸릴 수 있습니다.

 

아래의 다이어그램을 보면, 도메인이나 URL은 언제든지 생성될 수 있지만 피싱 캠페인이 시작되었을 때 트래픽을 수신합니다. 비정상적인 행동이 관측되면 보안 벤더사의 프로세스가 시작됩니다. 하지만 피싱 캠페인이 끝난 후에야 블랙리스트가 업데이트됩니다.

ETP_KO1.png

다시 말해 도메인이나 URL이 아직 악성으로 식별되지 않았고 블랙리스트에 등록되지 않았을 경우 공격 시작 후 1시간이 위험하다는 것입니다.

 

이는 보안 허점이 존재한다는 뜻입니다.

 

Akamai 위협 연구팀은 피싱 공격과 피싱 툴키트에 대한 대대적인 분석을 진행했습니다.
공격의 수명이 짧은 경우에도 공격 요소의 대부분이 피싱 페이지의 코드에서 반복적으로 관측되었습니다.

 

결과적으로 연구팀은 페이지의 콘텐츠를 기반으로 피싱 페이지를 실시간으로 정확하게 확인할 수 있는 방법을 새롭게 개발했습니다. 바로 Enterprise Threat Protector(ETP)의 제로데이 피싱 탐지 엔진입니다. 이 엔진을 통해 요청된 웹 페이지를 분석하고 이전에 관찰된 피싱 페이지의 핑거프린트와 현재의 핑거프린트를 비교할 수 있습니다.

ETP_KO2.png

이 실시간 방어는 페이지가 요청되는 순간 이루어지며 이전에 전혀 관측된 적이 없는 피싱 페이지에서도 작동합니다.

 

작동 원리는 무엇일까요? Akamai는 새롭게 확인되는 수많은 피싱 도메인과 URL 목록을 지속적으로 수신합니다. 이렇게 새로 식별된 도메인과 URL의 웹 페이지 콘텐츠를 가져온
뒤, 유사한 모든 페이지를 모아 분석합니다. 그리고 공통적인 코드 특징을 찾아내 탐지 엔진에 사용되는 피싱 '핑거프린트'를 생성합니다.

 

최근 이 인텔리전스에 데이터 소스가 추가되었습니다. 이제 Akamai 플랫폼의 트래픽은 Akamai CDN 네트워크를 사용하여 콘텐츠를 전송하는 웹사이트에 비정상적인 요청이 있는지 분석됩니다. 이 분석을 통해 분류될 수 있는 요청에는 브랜드 또는 기업 사이트에 대한 실시간 브라우저 요청 등이 있습니다. 이는 피해자가 피싱 페이지에 접속하려는 것일 수도 있습니다. 스푸핑된 페이지는 Akamai CDN 네트워크에서 정상적인 웹사이트를 호출하여 로고를 가져옵니다.

 

Akamai는 레퍼러(referrer) 헤더를 사용하여 피싱 페이지로 의심되는 페이지의 콘텐츠를 가져오며, 새로 만들어진 피싱 페이지를 탐지하기 위해 이를 분석용 데이터 세트에 추가합니다. 이것이 바로 Akamai만 접속할 수 있는 관련성이 높은 유일한 데이터 소스입니다.

 

이제 작동 방법에 관한 실질적인 사례를 살펴보겠습니다.

 

오늘 밤 공격자가 집에서 새로운 도메인을 등록하고 기존의 상용 툴키트 중 하나를 사용하여 Office 365 로그인 페이지를 스푸핑하는 피싱 페이지를 설정한다고 가정합니다. 그런 다음 바로 이메일 공격 캠페인을 시작합니다.

 

블랙리스트 방식의 경우, 캠페인을 시작한 첫 몇 시간 동안 피해자는 공격자의 이메일에 있는 링크를 클릭하고 자신의 사용자 이름과 비밀번호를 입력하게 되는데, 이는 블랙리스트가 아직 업데이트되지 않았기 때문입니다. 이로 인해 공격자는 원하는 결과를 얻게 됩니다.

 

하지만 ETP의 제로데이 피싱 탐지 기능을 사용하면 피싱 툴키트의 핑거프린트가 식별되어 실시간으로 접속이 차단되기 때문에 가짜 로그인 페이지에 접속을 시도하는 첫 표적부터 안전하게 보호합니다. 해당 도메인 또는 URL이 ETP의 위협 인텔리전스에 자동으로 추가되어 공격자는 원하는 결과를 얻지 못하게 됩니다.

 

제로데이 피싱 공격에 대한 실시간 보호는 앞서 언급한 보안 허점을 줄이는 데 도움이 됩니다. 공격자가 원하는 것은 1개의 인증정보 세트라는 점을 명심하시기 바랍니다. ETP를 이용하면 이제 소를 잃기 전에 외양간을 고칠 수 있습니다.

 

제로데이 피싱 및 기타 표적 위협으로부터 사용자와 디바이스를 보호하는 방법은 akamai.com/etp
에서 자세히 확인할 수 있습니다.