“이건 충격 넘어 공포” 앳된 얼굴의 청년, 설마 했는데…결국, 사달?

2018년 미국 연방수사국(FBI)의 공개 수배 명단에 오른 북한 해킹 조직 라자루스 소속 박진혁. 해당 사진은 기사 본문과 직접적인 연관은 없습니다. [AP]

[헤럴드경제=고재우 기자] 미국 연방수사국(FBI)이 북한 정찰총국과 연계된 해킹 그룹 ‘김수키’의 신종 해킹 수법을 경고하면서, 국내 이용자 사이에도 비상이 걸렸다. 기존 보안 체계를 무력화하는 새로운 공격 방법인 ‘퀴싱’이 등장했기 때문이다.

15일 안랩에 따르면 김수키는 최근 악성 QR 코드를 활용한 표적 피싱 공격을 수행했다. 공격 대상은 싱크탱크, 학술 시관, 비정부기구(NGO), 정부 및 외교·안보 관련 조직 등이었다.

퀴싱은 QR 코드 안에 악성 URL을 숨겨 사용자를 피싱 사이트로 유도하는 수법이다. 특히 기존 이메일 보안, 엔드포인트 방어 체계를 우회한다는 점에서 위협적이다. 엔드포인트 방어 체계란 네트워크에 연결된 PC, 서버, 모바일, 사물인터넷(IoT) 기기 등을 외부 위협으로부터 보호하는 보안 설루션이다.

쉽게 말해 기존 보안 체계를 무력화할 수 있는 공격 수단이 퀴싱인 것이다.

안랩도 FBI를 인용해 ▷모바일 기기를 노린 보안 우회 전략 ▷다중 인증(MFA)까지 우회한 실제 공격 흐름 등을 지적했다.

네이버 간편 로그인 이미지. 네이버도 간편 로그인 시 ‘가짜 로그인 페이지’ 활용한 신종 피싱에 주의를 당부한 바 있다. [네이버 밴드 캡처]

세부적으로 QR 코드 스캔은 ‘개인 모바일 기기’를 통해 이뤄진다. 대부분 기업에서 PC, 이메일 시스템 등에 적용 중인 보안 설루션이 무용지물인 셈이다.

또 QR 코드를 통해 연결된 페이지는 구글, 마이크로소프트 365 등 정상 로그인 화면을 정교하게 모방했다. 이용자 입장에서는 사이트 진위 여부 구별이 쉽지 않다. 사용자가 계정 정보를 입력하면 비밀번호뿐만 아니라 세션 토큰도 함께 탈취되는 사례도 확인됐다.

더욱이 MFA를 적용한 계정이라도 추가 인증 절차 없이 계정 탈취로 이어질 수 있다는 점에서 2차 스피어피싱 공격 거점 활용 우려도 있다.

미국 워싱턴 D.C.에 있는 J. 에드거 후버 연방수사국(FBI) 건물. [게티이미지뱅크]

하지만 아직 뚜렷한 대책은 마련되지 않았다. FBI에 따르면 ▷QR코드 피싱 인식 교육 ▷모바일 기기 관리(MDM) ▷강화된 MFA 정책 ▷QR 코드 스캔 이후 모니터링 권고 등이 할 수 있는 전부다.

안랩은 “김수키의 퀴싱 공격은 QR코드가 더 이상 단순한 편의 기능이 아니라 모바일 기기를 활용해 보안 체계를 우회하는 실질적인 공격 경로로 자리 잡고 있음을 보여준다”고 진단했다.

이어 “보안의 범위가 PC와 이메일을 넘어 모바일 기기와 사용자 행동 전반까지 확장돼야 한다”며 “유사한 공격은 앞으로도 반복될 것이고, 조직의 계정 보안과 내부 신뢰 체계를 지속적으로 위협할 수 있다”고 경고했다.