해커가 서버를 클라우드에 두고 피싱을 시도하는 서비스형 피싱(Phishing as a Service, PhaaS)이 확산되고 있는 것으로 파악됐다. 주로 첨단 기술 업계를 표적으로 하며, 절반 가까운 공격자가 마이크로소프트, 페이팔, DHL, 드롭박스와 같은 업체와 이용자들을 이용했다.

11일 아카마이코리아는 ‘아카마이 2019 인터넷 현황 보고서 : 보안 피싱’을 통해 PhaaS 공격 현황을 점검했다.

보고서는 사이버 범죄자가 PhaaS 기술을 활용해 엔터프라이즈 기반 개발과 배포 전략을 통해 세계 최대 기술 브랜드를 이용하고 있다고 밝혔다. 이 중 42.63%의 도메인이 마이크로소프트, 페이팔, DHL, 드롭박스를 표적으로 삼는 것으로 확인됐다.

PhaaS는 매우 조직적이고 정교한 피싱 키트 작업을 통해 여러 업계의 유명 글로벌 기업과 해당 사용자를 표적으로 삼는다.

올해 가장 많이 공격을 받은 곳은 첨단 기술 업계이며, 도메인 6035개, 변종 키트 120개가 발견됐다. 두번째는 금융 서비스 업계(변종 도메인 3658개, 변종 키트 83개), 이커머스(도메인 1979개, 변종 키트 19개)와 미디어 업계(도메인 650개, 변종 키트 19개)가 뒤를 이었다. 종합하면 60개가 넘는 글로벌 기업이 공격 대상이 됐다.

아카마이 모니터링 결과에 따르면 피싱 공격에서 가장 많은 표적이 된 기업은 마이크로소프트, 페이팔, DHL, 드롭박스다. 마이크로소프트는 전체 도메인의 21.88%(도메인 3897개, 변종 키트 62개), 페이팔 9.37%(변종 키트 14개), DHL 8.79%(변종 키트 7개), 드롭박스 2.59%(변종 키트 11개)를 차지했다.

특히 피싱 키트 중 60%가 최대 20일 동안만 활성화됐다. 키트가 짧은 활성화 기간을 가져가면 탐지되지 않을 확률이 높아진다.

공격자가 키트를 탐지되지 않도록 새로운 우회 방법을 계속 개발하며 피싱 키트 활성화 기간을 짧게 가져가는 피싱 공격이 점차 일반화되고 있다고 아카마이 측은 분석했다.

한편 이번 보고서는 최신 우회 기술, 설계, 지역 타깃팅 옵션을 갖춘 3가지 유형의 키트를 제공한 개발자의 작업 과정을 추적한 연구 프로젝트도 공개했다.

마틴 맥키 아카마이 인터넷 보안 현황 보고서 수석 편집장은 “피싱은 개인 인식이 개선되고 레이어(layered) 방어 기술이 마련되기 전까지는 계속해서 소비자와 기업을 공격할 장기 문제”라며 “기업들은 기업 신뢰도를 악용하려는 기업형 범죄자보다 앞서 나가기 위해 부단히 노력해야 한다”고 당부했다.

아카마이 2019 인터넷 현황 보고서: 보안 피싱은 아카마이 웹사이트에서 다운로드 할 수 있다.

김태환 테크엠 기자 kimthin@techm.kr