AI 기반 피싱 공격에 관한 보안 뉴스

byaza club 2 min read
0


공격자들이 Gamma라는 AI 기반 프레젠테이션 플랫폼을 악용하여 피싱 공격을 수행하고 있습니다. 이 공격은 다음과 같은 특징을 가지고 있습니다:

  1. 정상 계정에서 발송된 이메일을 통해 PDF 첨부 파일을 열도록 유도합니다.
  2. PDF는 실제로 Gamma에서 호스팅된 프레젠테이션으로 연결되는 하이퍼링크입니다.
  3. 사용자는 "보안 문서 검토" 버튼을 클릭하도록 유도됩니다.
  4. 다음 단계에서는 Microsoft를 모방한 페이지와 Cloudflare Turnstile 인증 단계가 나타납니다.
  5. 최종적으로 SharePoint 로그인 포털을 가장한 피싱 페이지에서 사용자 자격 증명을 탈취합니다.

이러한 다단계 리디렉션 기법은 정적 링크 분석 도구가 공격 경로를 추적하기 어렵게 만듭니다. 이는 SPF, DKIM, DMARC와 같은 이메일 인증 검사를 우회하기 위해 신뢰할 수 있는 서비스를 활용하는 '신뢰 사이트 악용(LOTS)' 기술의 한 예입니다.

마이크로소프트는 최근 AI 기반 사기 공격이 증가하고 있다고 경고했으며, Storm-1811(STAC5777)이라는 그룹이 Microsoft Teams를 통한 음성 피싱을 수행하여 랜섬웨어를 배포하고 있습니다. 이 그룹은 지속적인 접근을 위해 TypeLib COM 하이재킹과 새로운 PowerShell 백도어를 사용하는 등 전술을 변경하고 있습니다.


[대응방안]

AI 기반 해킹 수법은 점점 정교해지고 있으며, 특히 신뢰 사이트 악용(LOTS) 기법과 다단계 리디렉션은 기존 보안 체계를 우회하기 쉽습니다. 당신이 언급한 Gamma 플랫폼을 악용한 피싱 사례처럼, 사용자가 신뢰할 만한 서비스를 경유하게 되면 경계심이 무뎌지게 됩니다. 이에 대한 대응 방안을 다음과 같습니다:


1. 기술적 대응 방안

(1) 콘텐츠 보안 게이트웨이 강화

  • 첨부된 PDF 내부의 링크도 검사할 수 있도록 Deep Link 분석 기능을 도입하세요.
  • 프레젠테이션 플랫폼(Gamma 등)과 같은 비정상적 리디렉션 경로를 탐지할 수 있는 URL 분석 기술이 필요합니다.

(2) AI 기반 행위 분석 도입

  • 사용자 행동 기반 이상 탐지(UEBA)로 평소와 다른 접속 방식이나 위치, 기기 등을 식별해 차단합니다.
  • 이메일 내 URL을 열람한 후 나타나는 페이지의 행위(credential input, redirection)를 분석해 피싱 여부를 판단하는 브라우저 샌드박스 기술도 효과적입니다.

(3) 다중 인증(MFA)과 세션 제어

  • 자격 증명이 탈취돼도 피해를 최소화하기 위해, 중요한 시스템 접근에 강력한 MFA를 적용하세요.
  • 조건부 접근 정책(Conditional Access)을 통해 이상 세션을 자동으로 로그아웃하거나 접근 차단할 수 있습니다.

(4) DMARC 정책 강화 및 분석

  • SPF/DKIM/DMARC는 우회될 수 있지만, 여전히 중요한 1차 필터입니다.
  • “p=reject” 정책을 적극 도입하고, 정기적으로 DMARC 리포트를 분석해 위장 발신 도메인을 식별해야 합니다.

2. 사용자 인식 및 교육 강화

  • PDF나 링크가 “보안 문서”처럼 위장되어 있어도, 정식 업무 흐름과 다른 접근은 항상 의심하도록 정기 교육 및 훈련이 필요합니다.
  • 가짜 로그인 포털 탐지 훈련(예: SharePoint, Microsoft 365 등 모조 페이지 식별법)을 통해 대응 능력을 키워야 합니다.
  • “신뢰 사이트”도 공격자가 조작할 수 있다는 인식을 직원들에게 확산시켜야 합니다.

3. 공급망 및 SaaS 플랫폼 관리

  • Gamma 같은 SaaS 툴에 대한 신뢰 수준 평가 및 화이트리스트 관리를 도입해야 합니다.
  • 기업 내에서 사용 가능한 SaaS 플랫폼을 제한하고, 승인되지 않은 SaaS 사용은 차단합니다.


4. 위협 인텔리전스 및 사후 대응 체계 구축

  • Storm-1811과 같은 위협 그룹의 전술(TTP)을 최신 위협 인텔리전스로 정리하고 대응 시나리오를 수립하세요.
  • 침해 사고 발생 시, PowerShell 스크립트 로그, COM 하이재킹 흔적, Microsoft Teams 로그 등을 포함한 포렌식 분석 체계를 준비해야 합니다.

5. 정책 및 툴 통합 강화

  • 이메일 보안 솔루션, EDR/XDR, CASB, DLP 등 보안 솔루션 간 통합 연동을 통해 전방위 가시성을 확보하세요.
  • 예를 들어, 이메일로 전달된 PDF 링크가 SharePoint 사칭 페이지로 연결되면 EDR이 브라우저 프로세스를 분석하여 이상 동작을 탐지하고, CASB는 클라우드 로그인 시도를 차단할 수 있어야 합니다.




Tags:
4.94 / 169 rates

Post a Comment

Previous Post Next Post