'여보세요, 상담원이죠?' 보이스피싱 위협에 대한 기술적 분석

해당 블로그의 원문은 2025년 6월 5일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Nick Guttilla

서론

야생의 보이스피싱: 두 공격자 이야기

사회 공학은 사람들을 심리적으로 조종하여 원치 않는 행동을 하게 하거나 기밀 정보를 누설하게 만드는 행위입니다. 이는 인간의 감정과 신뢰, 도움이 되고자 하는 욕구와 같은 내재된 취약점을 이용하는 효과적인 전략입니다. 금전적 동기를 가진 공격자들은 초기 접근을 위한 주요 벡터로 '보이스피싱(vishing)'이라고 불리는 음성 기반의 사회 공학을 점점 더 많이 채택하고 있으며, 그들의 구체적인 방법과 최종 목표는 크게 다를 수 있습니다.

두 가지 대표적인 사례는 이러한 위협의 다양성을 잘 보여줍니다. UNC3944(일명 'Scattered Spider'와 중복되는 집단)로 추적되는 클러스터는 역사적으로 보이스피싱을 다양한 범죄 활동을 위한 유연한 진입점으로 활용해왔습니다. 이들은 종종 기업의 서비스 데스크에 전화하여 직원인 척 가장하고, 자격 증명과 다중 인증(MFA) 방법을 재설정하도록 합니다. 이렇게 얻은 접근 권한은 SIM 스와핑, 랜섬웨어 배포, 데이터 도난 후 갈취 등 더 광범위한 공격에 사용됩니다.

최근에는 UNC6040이라는 금전적 동기의 공격자가 다른 보이스피싱 전략을 보여주었습니다. 이들 역시 IT 지원 인력을 사칭하지만, 직원을 속여 Salesforce의 연결된 앱 페이지로 이동하게 하고 악성 앱인 'Data Loader'의 공격자 통제 버전을 승인하게 만드는 특정 목표를 가지고 있습니다. 이 한 번의 행동만으로 공격자는 피해자의 Salesforce 환경에서 대규모 데이터 유출을 수행할 수 있는 권한을 얻게 되며, 이는 후속적인 갈취 시도에 사용됩니다. 두 공격자 모두 보이스피싱에 의존하지만, UNC3944는 광범위한 네트워크 접근을 위한 계정 탈취에 초점을 맞추는 반면, UNC6040은 CRM 데이터의 표적 도난에 집중하는 등 그들의 뚜렷한 목표는 조직이 이 전술로 인해 직면하는 다양한 위험을 잘 보여줍니다.

UNC3944 및 UNC6040과 같은 공격자들의 기술, 전술, 절차(TTP)를 검토함으로써 조직은 직원 식별 및 인프라와 기밀 데이터 보호에 관한 자체 내부 정책 및 지침을 더 잘 평가할 수 있습니다. 또한, 레드팀은 이들의 방법론을 통해 실제 공격을 더 효과적으로 모방하고 조직이 심층 방어 전략을 개발하는 데 도움을 줄 수 있습니다.

Mandiant는 다양한 규모의 고객을 대상으로 한 레드팀 평가 시 보이스피싱을 수행하기 위해 다음 접근 방식을 성공적으로 사용했습니다. 설명된 기술들은 Mandiant가 UNC3944 및 UNC6040과 같은 정교한 보이스피싱 공격자들의 TTP를 모방할 수 있게 해주었으며, 그 결과 관리자급 사용자 사칭, 기업 네트워크 경계 침해, 민감한 데이터 접근이 가능했습니다. Mandiant는 또한 여러 서비스 데스크를 설득하여 자격 증명을 재설정하고 여러 형태의 MFA를 변경하도록 했습니다. 이러한 시뮬레이션된 사건들은 조직이 실제 위협 행위자에게 악용되었을 수 있는 잠재적인 취약점을 선제적으로 식별하고 해결할 수 있도록 지원했습니다.

Open-Source Intelligence Gathering (OSINT)

효과적인 사회 공학 캠페인은 광범위한 사전 조사에 기반합니다. 공격자가 기업 문화, 직원, 정책, 절차, 사용 중인 기술에 대해 얼마나 많은 정보를 얻을 수 있는지가 피싱 시나리오 개발의 완성도에 직접적인 영향을 미칩니다. 외부 관점에서 조직에 대한 포괄적인 개요를 제공하기 위한 철저한 검색에는 다음 항목의 발견이 포함되지만, 이에 국한되지는 않습니다.

• 네트워크 범위 및 IP 주소 공간

• 최상위 도메인 및 서브 도메인

• 클라우드 서비스 제공업체 및 이메일 인프라

• 인터넷 접속 가능 웹 애플리케이션 및 내부 사용 웹 애플리케이션

• 코드 리포지토리

• 기업 전화번호 및 이메일 주소 형식

• 직원 직위 및 직함

• 실제 사무실 위치

• 공개적으로 노출된 내부 문서

이 정보의 대부분은 공개적으로 접근 가능한 자원을 통해 찾을 수 있습니다. 회사 웹사이트와 마케팅 자료에는 종종 본사 전화번호, 특정 부서 또는 심지어 개별 직원의 전화번호를 포함한 기업 연락처 정보가 나열되어 있습니다. 소셜 미디어 플랫폼은 조직의 프로필을 작성하는 또 다른 수단을 제공합니다. 전문 네트워킹 서비스를 활용하여 직원들의 성명을 스크랩하고 발견된 명명 규칙과 일치하는 기업 이메일을 재구성할 수 있습니다. 이러한 플랫폼에 공유된 이력서에는 전화번호 및 개인 이메일 주소를 포함한 추가 연락처 정보가 포함될 수도 있습니다. 공격자는 일회용 이메일 계정으로 직원들에게 메시지를 보내 직접적인 상호작용이나 부재중 자동 회신을 통해 세부 정보를 얻으려는 시도를 할 수 있습니다. 또한, 직원들이 문제 해결 지원을 구하는 공개 포럼은 의도치 않게 회사 관련 세부 정보를 노출할 수 있습니다.

“TARGET” filetype:pdf | filetype:doc | filetype:docx | filetype:xls | 
filetype:xlsx | filetype:ppt | filetype:pptx intext:"confidential" | 
intext:"internal use only" | intext:"not for public release" | 
intext:"restricted access"

그림 1: 검색 필터를 이용한 문서 검색

익명 네트워크인 토르(TOR)는 숨겨진 서비스에 접속하거나, 제한된 콘텐츠를 얻거나, 유출된 직원 ID, 사용자 이름, 비밀번호, 개인 식별 정보(PII)와 같은 보충 데이터를 식별하는 데 사용될 수 있습니다.

인터넷은 방대한 자원을 제공하며, 타겟과 직접적인 상호작용 없이도 많은 정보를 발견할 수 있습니다.

자동 전화 서비스 활용하기

직원 식별 프로세스 파악하기

음성 기반의 사회 공학에 관여하는 공격자들은 궁극적으로 인간 운영자와 상호 작용하는 것을 목표로 합니다. 일부 자동화 시스템은 상담원과 직접 연결되는 옵션을 제공하지만, 다른 시스템은 직원 ID와 같은 일부 초기 정보를 제공하도록 요구할 수 있습니다. 그러나 이러한 경우에도, 반복적으로 잘못된 정보를 입력하면 결국 상담원에게 연결되는 경우가 흔합니다. 서비스 데스크 상담원은 비밀번호 재설정을 원하는 내부 직원부터 대외용 애플리케이션에 문제가 발생한 외부 고객까지, 매우 많은 양의 인바운드 전화를 처리합니다. 그들은 일반적으로 발신자 식별을 위해 요청해야 하는 정보와 문제를 직접 해결할 수 없을 때 어디로 에스컬레이션해야 하는지를 포함하여 스크립트화된 전화 응대 프로세스를 제공받습니다.

서비스 데스크에 대한 사회 공학적 사전 조사 단계에서 공격자는 식별 요구 사항이 적용되기 전에 무지한 척하거나 정보 공개의 경계를 넘으려 할 수 있습니다. 공격자에게는 제공된 정보가 부정확하거나 불충분할 때 서비스 데스크 직원이 어떻게 반응하는지 파악하는 것도 중요합니다. 예를 들어, 공격자는 잘못된 이름과 연결된 직원 ID를 제공하여 반응을 관찰하고, 잠재적으로 올바른 전체 이름을 유도하거나 직원 ID 형식의 유효성을 판단할 수 있습니다. 공격자는 또한 다른 시간대에 전화하여 다양한 직원과 대화하고, 반복적인 사전 조사 시도를 숨기기 위해 음성 변조를 사용하며, 매번 서비스 데스크의 식별 프로세스에 대해 더 많이 알아낼 수 있습니다.

또 다른 방법으로는, 서비스 데스크 번호가 파악되면 공격자는 일반 직원을 직접적으로 더 잘 공략할 수 있습니다. 공개적으로 사용 가능한 자원을 사용하여 공격자는 전화 발신 번호를 합법적인 서비스 데스크의 번호와 일치하도록 위장할 수 있습니다. IT 부서라고 주장하는 발신자를 확인하는 절차가 없는 경우, 의심하지 않는 직원들은 공격자의 설득에 넘어가 계정 접근 권한을 부여하거나, 직원을 더 잘 사칭하는 데 사용될 수 있는 정보를 누설하는 행동을 할 수 있습니다.

설득력있는 내러티브(Narrative) 만들기

충분한 사전 조사 데이터를 확보하면 공격자는 그럴듯한 직원 시나리오를 반영한 표적 캠페인을 수립할 수 있습니다. 서비스 데스크에 연락하는 일반적인 사전 공작(pretext)은 비밀번호 분실입니다. 많은 조직은 여러 요소를 사용하여 직원을 확인합니다. 초기 사전 조사를 통해 공격자가 지식 기반 인증 방법에 대한 답을 얻을 수 있지만, 장치 기반 확인이 요구되면 어려움이 발생합니다. 공격자는 전화가 고장 나거나 여행 중 분실된 것처럼 전화 사용이 불가능하다고 주장하며 긴급하게 계정 접근이 필요한 직원인 척 할 수 있습니다. 또 다른 일반적인 수법은 공격자가 부재중 자동 회신을 통해 휴가 중인 직원인 척하여, 긴급성을 조성해 서비스 데스크 직원을 설득하는 것입니다. 이러한 상황에 대한 응대는 특히 임원급 사용자에게는 다르게 나타날 수 있습니다. MFA 재설정에 성공하면, 공격자는 다시 전화하여 다른 상담원에게 연결된 후 사칭한 사용자의 비밀번호를 추가로 재설정하여 전체 계정을 탈취하려 할 수 있습니다. 합법적인 직원이 실제로 연락이 불가능한 경우, 무단 계정 접근이 장기간 지속될 수 있습니다.

익스플로잇의 진화

단일 계정의 침해는 더 복잡한 사회 공학 캠페인의 기반이 될 수 있습니다. 조직의 경계를 침범하면 공격자는 종종 내부 워크플로우, 채팅, 문서, 회의 초대 등에 접근하게 되며, 기존 직원에 대한 검증된 정보를 더 잘 찾아낼 수 있는 방법들을 알게 됩니다. ROADrecon과 같은 오픈 소스 도구는 전체 Entra ID 테넌트에서 세부 정보를 추출하여 잠재적으로 전화번호, 직원 ID 및 조직 계층 구조를 드러낼 수 있습니다. 공격자는 또한 IT 티켓팅 시스템 및 지원 채널에 접근하여, 해결되지 않은 요청이 있는 최종 사용자에게 서비스 데스크 직원인 척 할 수도 있습니다. 공격자가 더 많은 정보를 가질수록 그들의 사전 공작은 더 설득력이 생기며, 성공 확률이 높아집니다.

전략적 권장 사항 및 모범 사례

서비스 데스크 상호 작용을 위한 긍정적 신원 확인

• 서비스 데스크 직원은 계정을 수정하거나 보안에 민감한 정보를 제공하기 전에 모든 직원(최초 등록 시 포함)에 대해 엄격하게 긍정적 신원 확인을 수행하도록 교육받아야 합니다. 이는 모든 권한 있는 계정에 대해 매우 중요합니다.

• 의무적인 확인 방법에는 다음 옵션이 포함되어야 합니다.

  • 직원이 회사 배지 또는 정부 발급 신분증을 제시하는 카메라/화상 회의 확인

  • 최신 내부 직원 사진 데이터베이스 활용

  • 외부에서 쉽게 발견할 수 없는 정보(생년월일이나 사회 보장 번호 마지막 4자리와 같이 공격자가 종종 소유하고 있는 공개 PII에 의존하지 않음)를 기반으로 한 챌린지/응답 질문

MFA 재설정 또는 권한 있는 계정의 비밀번호 변경과 같은 위험도가 높은 변경의 경우, 대역 외 확인(out-of-band verification)을 구현해야 합니다(예: 등록된 전화번호로 콜백하거나 직원 또는 관리자의 알려진 회사 이메일 주소를 통한 확인).

• 위협이 고조되거나 침해가 의심되는 기간 동안에는 셀프 서비스 비밀번호 또는 MFA 재설정 방법을 일시적으로 비활성화하고, 모든 요청을 강화된 심사를 거치는 수동 서비스 데스크 워크플로우를 통해 처리하는 것을 고려해야 합니다.

강력하고 피싱에 강한 MFA 시행

• 비밀번호가 유출되더라도 무단 접근을 방지하기 위해 모든 민감하고 인터넷에 노출된 포털에 MFA를 시행해야 합니다.

• 대부분의 직원을 위해 하나의 주된 MFA 솔루션을 표준화하여 보안 아키텍처를 단순화하고 탐지 및 경고를 위한 플랫폼을 중앙 집중화합니다.

• SMS, 음성 통화 또는 간단한 이메일 링크와 같은 취약한 형태의 MFA를 주 인증 요소에서 제거합니다. 이러한 방법은 보이스피싱, SIM 스와핑 및 기타 공격에 취약합니다.

• FIDO2를 준수하는 보안 키(하드웨어 토큰), 특히 관리자 및 권한 있는 사용자를 위해 피싱에 강한 MFA 방법을 우선시합니다.

  • 숫자 매칭 또는 강력한 지리적 확인 기능을 제공하는 인증자 애플리케이션

  • 쉽게 가로챌 수 있는 채널에 의존하지 않는 소프트 토큰

• 관리자 사용자가 다른 사용자 등급에는 허용되더라도 레거시/취약한 MFA 방법을 등록하거나 사용하지 못하도록 합니다.

안전한 MFA 등록 및 수정 프로세스

• 엄격한 통제 없이 직원이 새로운 MFA 장치를 자체적으로 등록하는 것을 허용하지 않습니다. IT가 관리하거나 안전한 등록 프로세스를 구현해야 합니다.

• MFA 등록 및 수정 활동이 신뢰할 수 있는 IP 위치 및/또는 규정을 준수하는 회사 장치에서만 허용되도록 제한합니다.

• 동일한 MFA 방법 또는 전화번호가 여러 사용자 계정에 등록되는 것과 같은 의심스러운 MFA 등록 활동에 대해 경고하고 조사합니다.

관리자 참여 및 직무 분리

• 서비스 데스크는 직원의 비밀번호 재설정 시(특히 민감한 계정에 대해), 내부 디렉터리에서 확인된 연락 채널을 통해 관리자에게 알려야 합니다.

• 모든 MFA 재설정에는 확인된 채널을 통한 관리자 승인을 요구해야 합니다. 이는 제3자의 인지도를 높이고 추가적인 기록을 남깁니다.

• 대규모 조직의 경우 서비스 데스크의 책임을 분리하는 것을 고려해야 합니다. 고객 대면 지원 데스크는 일반적으로 내부 기업 직원 계정을 수정할 권한을 갖지 않아야 합니다.

직원 교육 및 보이스피싱 인식 제고

• 보이스피싱 시나리오를 포함한 정기적인 피싱 시뮬레이션 훈련을 실시하여 직원들에게 음성 기반 사회 공학의 특정 위험에 대해 교육합니다.

• 직원들에게 IT 지원 또는 다른 내부 부서라고 주장하는 예상치 못한 전화나 민감한 정보 요청에 대해 항상 공식적인 내부 디렉터리를 사용하여 콜백을 시작하거나 관리자에게 연락하여 확인하도록 교육합니다.

• 직원들에게 일반적인 보이스피싱 사전 공작(pretext)을 인식하도록 훈련합니다(예: 부정적 결과를 피하기 위한 긴급 요청, 즉각적인 조치가 필요한 시스템 문제 주장, 예상치 못한 MFA 프롬프트).

• 서비스 데스크 직원에게는 이전 통화 및 티켓 로그에 대한 접근 권한을 제공하여 인식되지 않은 번호로부터의 반복적인 전화 또는 동일 사용자에 대한 순차적인 MFA 재설정 및 비밀번호 재설정 요청과 같은 비정상적인 패턴을 식별하는 데 도움을 줍니다.

보이스피싱 관련 활동에 대한 보안 모니터링 및 경고

• SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 기술을 활용하여 직원 로그인 활동 및 서비스 데스크 상호 작용을 모니터링합니다.

• 다음 사항에 대해 특정 경고를 생성합니다.

  • 비밀번호 재설정 활동, 특히 권한 있는 계정이거나 예상 패턴을 벗어난 경우

  • 새로운 MFA 장치 등록 또는 기존 MFA 방법 수정

  • 여러 번의 로그인 실패 후 성공적인 비밀번호 또는 MFA 재설정

  • MFA 피로 공격(여러 번의 순차적인 불완전한 인증)

• 비정상으로 플래그 지정된 모든 활동은 내부 보안팀이 검토하고 영향을 받은 직원 및 관리자와 함께 조사해야 합니다.

결론