PDF 기반 악성 캠페인, 콜백 피싱과 큐알코드 곁들인 종합 선물세트
- Cisco Talos, 브랜드 로고를 활용 가짜 PDF 문서 통한 공격 시도
- TOAD(Telephone-Oriented Attack Delivery) 형태의 공격
- Microsoft, NortonLifeLock, Paypal, DocuSign, GeekSquad 등의 브랜드 사칭
PDF 문서를 활용한 피싱 공격이 기승을 부리는 중이다. 보안 업체 시스코(Cisco)의 탈로스 팀(Talos)이 발표한 바에 의하면, 브랜드 사칭을 위한 공격에 PDF 문건들이 최근 들어 적극 사용되고 있다고 한다. 현재 문서 교환 시 가장 선호되는 포맷이 PDF인데, 공격자들이 그런 일반 대중들 사이의 심리를 놓치지 않은 모습이다.
공격 프로세스
공격자들은 가짜 PDF 문서에 자신들이 사칭할 브랜드의 로고를 삽입해 신뢰도를 높이며, 제목에 ‘급여 인상’과 같은 문구를 써 넣음으로써 피해자의 클릭을 유도한다고 탈로스는 경고한다. 최근 마이크로소프트나 도큐사인, 드롭박스, 어도비 등 미국의 주요 IT 업체들이 ‘인사 시즌’을 맞이하고 있는데, 그러한 시기를 노려 기획한 공격으로 의심된다.
PDF 문서 속 내용은 한 마디로 요약해 “이 번호로 전화하세요”다. 문건 내용이 궁금하거나, 추가 상세 정보가 필요하다면 따로 연락해야 한다는 식으로 꼬드겨 범인이 남긴 번호로 전화를 걸도록 만드는 게 이 PDF 문서의 가장 큰 역할이다. 이는 콜백 피싱(callback phishing) 혹은 토드(TOAD)라고 불리는 유형의 공격이다. 토드는 ‘전화 기반 공격 전달(Telephone-Oriented Attack Delivery)’의 준말이다.
피해자가 전화를 걸면 공격자는 정상 직원 혹은 담당자인 것처럼 대응을 한다. 대화를 이어가면서 피해자가 민감 정보를 유출하도록 하는 게 궁극적 목적이다. 교묘한 화술을 부릴 때도 있지만, 대부분은 피해자가 특정 소프트웨어를 설치하도록 만든다. 이 소프트웨어는 일종의 멀웨어로, 피해자 컴퓨터에 설치된 후 공격자에게 특정 정보를 전송한다.
“기존 피싱은 악성 링크나 첨부파일을 통해 피해자가 특정 웹 페이지로 들어오게 유도합니다. 하지만 콜백 피싱은 음성 기반 통화를 먼저 거치게 합니다. 사람과 사람이 음성으로 대화를 나누다 보면 보다 두터운 신뢰가 쌓이는 게 일반적인데, 바로 이 심리를 노린 것이죠. 클릭은 무섭지만 대화는 안심이다, 라는 일반인들의 성향을 잘 이해하고 있다고 볼 수 있습니다.”
범인의 전화번호가 있으면 추적하기 쉽지 않을까? 공격자들은 호락호락하지 않다. “이러한 공격에서 발견되는 전화번호는 거의 전부 VoIP 번호입니다. 즉 인터넷 기반 전화라는 것이죠. 그렇기 때문에 특정 개인의 실제 위치를 추적하는 게 매우 어렵습니다. 그래서인지 공격자들이 같은 번호를 며칠 동안 연속으로 쓰는 경우도 있었습니다. 보통 피싱 이메일을 발송하는 주소나 피싱 사이트 URL의 경우 빠르게 바꾸는데 말입니다.”
악성 큐알코드도 있어
이번 피싱 캠페인의 중요한 특징 중 하나는 악성 큐알코드가 적극 활용되고 있다는 것이다. ‘큐알코드 피싱’이라고도 알려진 전술이다. 유명 브랜드를 사칭했을 때 피해자들로부터 얻어낼 수 있는 신뢰도와, 큐알코드라는 기술에 대한 신뢰도를 합함으로써 피해자가 속을 확률을 높인다. 큐알코드를 스캔하면 공격자들의 피싱 페이지로 접속된다.
이메일 보안 솔루션들은 이런 큐알코드들을 거르지 못할까? 최근 솔루션들은 탐지율이 높은 편이다. “이번 캠페인의 경우, 피해자가 이메일이나 PDF 파일을 여는 순간 큐알코드가 렌더링 되도록 꾸며져 있습니다. 그래서 잘 탐지 되지 않습니다. 물론 최신 보안 솔루션들 중 이러한 수법의 악성 큐알코드들을 잡아낼 수 있는 것들이 있습니다. 하지만 보편화 되지 않았죠. 보다 널리 사용되는 텍스트 및 키워드 기반 이메일 필터라면 이런 공격을 막을 수 없습니다.”
왜 PDF인가?
PDF를 미끼로 쓰는 피싱 공격은 잊을 만하면 나타났다 사라지고, 또 나타났다 사라지곤 한다. PDF 형식의 파일들이 갖는 매력이 있기 때문이다. “PDF는 텍스트 층, 이미지 층, 주석 등 세 가지 주요 구성 요소 내에 정보를 저장할 수 있도록 해줍니다. 그렇기 때문에 유연하고, 활용할 여지가 큽니다. 어떻게 쓰느냐에 따라 매우 합법적 혹은 정상적으로 보이게 만들 수 있죠. 스팸 필터나 각종 탐지 기술을 회피할 수 있게 한다는 겁니다.”
예를 들어 피싱 URL은 텍스트 주석이나 스티키 노트 등에 삽입하고, 본문에는 온갖 ‘노이즈 텍스트’로 채운다면 어떨까? 실제 여러 피싱 공격자들이 활용하는 수법으로, 피해자의 눈과 탐지 솔루션 모두를 바보로 만드는 경우가 적지 않다. “큐알코드 역시 이러한 방식으로 교묘히 삽입할 수 있습니다. 여기에 피싱 사이트 주소를 단축시키기까지 한다면 더더욱 검사와 확인이 어렵게 됩니다.”
PDF를 통한 브랜드 사칭 공격에서 가장 많이 사칭되는 브랜드는 마이크로소프트인 것으로 조사됐다. “2025년 5월 5일부터 6월 5일까지, 마이크로소프트가 가장 높은 빈도로 사칭됐습니다. 그 다음은 노턴라이프락(NortonLifeLock)이었고, 3위는 페이팔(PayPal)이었습니다. 도큐사인(DocuSign)과 긱스쿼드(GeekSquad)가 그 다음이었고요.”
그래서?
브랜드 사칭 공격은 사회공학 기법 중 가장 널리 사용되는 것 중 하나다. 유명 브랜드를 사칭하는 데 성공할 경우 수많은 피해자들을 양산할 수 있기 때문이다. 한 마디로 효과가 검증된 공격 전술이라고 할 수 있다. 그렇기 때문에 앞으로도 브랜드 사칭 공격은 꾸준히 이어질 것이 분명하다.
방어는 간단치 않다. 사칭의 방법이 다양하기 때문이다. 일반 소비자라면 그 무엇보다 ‘의심의 끈’을 놓지 않는 게 중요하다. 피싱 공격은 자극적이고 누구나 궁금할 수밖에 없는 내용의 문구를 가장 앞에(혹은 제목에) 놓고, 피해자의 눈길을 끌려고 한다. 이 점을 늘 염두에 두고 온라인 활동을 이어가는 게 좋다. 너무나 매력적인 제목, 누구나 혹할 수밖에 없는 ‘핫딜’, 안 사면 손해일 것 같은 할인 조건은 무시하는 게 안전하다.
유명 브랜드나 국가 기관에서 고객 개인에게 ‘전화를 걸어주세요’라고 요청하는 경우는 극히 드물다. 이건 어느 나라나 마찬가지이니, 기억해두는 것이 도움 될 수 있다. 큐알코드를 무조건 스캔하는 것도 삼가해야 할 일 중 하나다. 파일이나 링크의 경우 출처를 거듭 확인한 후 열거나 클릭하듯이, 큐알코드도 출처를 검사한 후에 스캔하는 게 권장된다.
PDF라는 파일 형태나 사람의 음성, 큐알코드처럼 신뢰도가 높은 것들을 어느 경우에나 안심하고 사용하는 것 역시 기피해야 할 일이다. 인기가 높거나 많은 신뢰를 받는 것은 반드시 공격자의 도구가 되기 마련이다. 출처 검사와 확인의 습관, ‘무조건적인 신뢰’의 근절만 잘 지켜도 사이버 공격의 피해자가 될 확률은 크게 줄어든다.
Related Materials
- Available now: 2024 Year in Review - Cisco Talos Blog, 2024년
- Cisco Talos 2023 Year in Review - Cisco Talos Blog, 2023년
- Cisco Talos 2024 Year in Review - Cisco Talos Blog, 2024년
JustAnotherEditor
