큐싱·피싱·사칭메일 공격까지 차단하는 제로 트러스트 전략 사칭메일·정교한 사회공학기법 공격 대응 기술 제안
제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.
QR코드 악용 ‘큐싱’, 이미지 분석 기술로 차단
제로 트러스트 원칙이 반드시 필요한 분야로 웹과 이메일을 꼽을 수 있다. 공격자는 정상 업무 메일과 웹사이트로 위장해 침투를 시도하기 때문에 무조건 신뢰하지 않고 검증하는 제로 트러스트 원칙이 필수다.
특히 최근 QR코드에 악성 링크를 삽입해 공격자 피싱 사이트로 유도하는 큐싱(Quishing)이 유행하고 있어 각별한 주의가 요구된다. QR코드는 사용자가 쉽게 웹사이트에 방문하도록 하거나 설문조사, 본인인증, 거래사실 인증 등 다양한 업무에 사용되고 있다. 링크를 QR코드로 변환하는 것은 매우 쉽기 때문에 위조된 QR코드를 이용해 사용자를 악성 사이트로 유도하고 개인정보를 입력하도록 하는 것은 매우 쉽다.
QR코드 이미지 자체에 악성코드가 숨어있는 것이 아니기 때문에 웹·이메일 악성코드와 악성링크 탐지 솔루션으로 막을 수 없다. 사용자가 QR코드의 악성 여부를 판단할 수 없고, QR코드를 이용해 접속하는 사이트는 신뢰할 수 있는 사이트로 위장하기 때문에 사용자가 직접 악성 여부를 판단할 수 없다.
에스에스앤씨가 국내에 공급하는 퍼셉션포인트가 큐싱 공격을 탐지, 분석한 결과, 90%의 공격이 M365를 이용했으며, 이메일 보안을 위한 이중인증으로 QR코드 인증을 요구했다. 해당 메시지에는 간단한 안내문과 QR코드만 있기 때문에 텍스트와 컨텍스트를 인식해 악성 여부를 판단하는 이메일 보안 솔루션으로 탐지하기 어렵다. 이메일을 보내는 사람은 신뢰할 수 있는 조직에서 근무하는 사람으로 의심하지 않도록 정교하게 조작됐다. 퍼셉션포인트가 분석한 사례 중에는 이메일 본인 인증뿐만 아니라 급여명세서 열람을 위한 본인인증 등으로 위장한 것도 있었다.
큐싱·피싱·사칭메일 공격까지 차단하는 제로 트러스트 전략
사칭메일·정교한 사회공학기법 공격 대응 기술 제안
제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.
QR코드 악용 ‘큐싱’, 이미지 분석 기술로 차단
제로 트러스트 원칙이 반드시 필요한 분야로 웹과 이메일을 꼽을 수 있다. 공격자는 정상 업무 메일과 웹사이트로 위장해 침투를 시도하기 때문에 무조건 신뢰하지 않고 검증하는 제로 트러스트 원칙이 필수다.
특히 최근 QR코드에 악성 링크를 삽입해 공격자 피싱 사이트로 유도하는 큐싱(Quishing)이 유행하고 있어 각별한 주의가 요구된다. QR코드는 사용자가 쉽게 웹사이트에 방문하도록 하거나 설문조사, 본인인증, 거래사실 인증 등 다양한 업무에 사용되고 있다. 링크를 QR코드로 변환하는 것은 매우 쉽기 때문에 위조된 QR코드를 이용해 사용자를 악성 사이트로 유도하고 개인정보를 입력하도록 하는 것은 매우 쉽다.
QR코드 이미지 자체에 악성코드가 숨어있는 것이 아니기 때문에 웹·이메일 악성코드와 악성링크 탐지 솔루션으로 막을 수 없다. 사용자가 QR코드의 악성 여부를 판단할 수 없고, QR코드를 이용해 접속하는 사이트는 신뢰할 수 있는 사이트로 위장하기 때문에 사용자가 직접 악성 여부를 판단할 수 없다.
에스에스앤씨가 국내에 공급하는 퍼셉션포인트가 큐싱 공격을 탐지, 분석한 결과, 90%의 공격이 M365를 이용했으며, 이메일 보안을 위한 이중인증으로 QR코드 인증을 요구했다. 해당 메시지에는 간단한 안내문과 QR코드만 있기 때문에 텍스트와 컨텍스트를 인식해 악성 여부를 판단하는 이메일 보안 솔루션으로 탐지하기 어렵다. 이메일을 보내는 사람은 신뢰할 수 있는 조직에서 근무하는 사람으로 의심하지 않도록 정교하게 조작됐다. 퍼셉션포인트가 분석한 사례 중에는 이메일 본인 인증뿐만 아니라 급여명세서 열람을 위한 본인인증 등으로 위장한 것도 있었다.
더 자세한 내용은 여기를 클릭해 주세요.