BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득했다. 근처 지역에서 생성된 IP 주소를 구매해서 자신들의 로그인 시도를 감추는 것이다. 이렇게 했을 때 MS의 보안 기능 중 하나인 ‘불가능한 이동(impossible travel)’ 경고 신호가 뜨지 않게 된다. MS가 이러한 공격 전술을 발견해 세상에 알리며 경고했다.
‘불가능한 이동’ 경고는 말 그대로 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것을 말한다. 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산해 지금 말이 되는 일이 일어나고 있는 건지 아닌지를 판단해주는 것이다. 예를 들어 A라는 사용자가 항상 9시경에 서울 마포에서 접속을 하는데, 어느 날 갑자기 로그아웃을 하고 다시 10시에 나이지리아에서 접속 시도가 있을 때 윈도가 ‘불가능한 이동’이라는 경고 메시지를 띄우는 것이다.
느낀 점: 기사를 접하며 BEC라는 공격이 무엇인지 찾아보았으며, BEC는 (Business Email Compromise)의 약자이며 공격자가 전자 메일을 사용하여 상대방이 금전을 보내거나 기밀 회사 정보를 누설하도록 유도하는 사이버 범죄의 일종이라고 한다. 공격자들은 'impossible travle'이라는 MS 보안 기능을 우회하기 위해 근처 지역의 IP를 구매해서 로그인을 시도한다고 한다. 이러한 수법을 막기 위해서는 여러 겹의 복합적인 보안 장비 구성, 메일 보안 솔루션, 사내 인증 관련 규정 설정 등이 있다는 것을 알게 되었다. 하지만 무엇보다 각종 사기 전술에 대한 임직원 교육이 제일 중요하다고 생각한다.
'보안뉴스' 카테고리의 다른 글
| 구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져 (07-06 13주차) (0) | 2023.06.07 |
|---|---|
| 네이버·카카오 등 사칭 ‘해킹메일 전송’, 전체 북한 해킹수법의 74% (01-06 12주차) (0) | 2023.06.01 |
| 새롭게 등장한 RA그룹, 바북 소스코드 개조해 활동 수위 높이는 중 (17-05 10주차) (0) | 2023.05.17 |
| 중국 해킹그룹, 국내 반도체 및 스마트 제조기업 정보 탈취 공격 감행 (11-05 9주차) (0) | 2023.05.11 |
| 챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT (05-05 8주차) (0) | 2023.05.05 |