스피어 피싱

Spear phishing.

스피어(spear)는 작살을 뜻한다. 피싱(phishing)이라는 말이 원래 낚시(fishing)에서 나온 건데, 즉 잡을 물고기를 노려서 작살로 잡는다는 것. 문제는 여기서 말하는 물고기는 사람이라는 것이다...

작살로 물고기를 잡듯이 목표물을 특정하고 그 목표물에 최적화해서 저지르는 피싱 범죄를 뜻한다. 예를 들어, 과거의 피싱은 그냥 불특정 다수를 상대로 떡밥을 뿌리고 아무나 걸려라, 하는 식이었다. 그물을 던져서 걸리는 대로 물고기를 건져올리는 것에 비유할 수 있다. 반면 스피어 피싱은 목표물을 특정한 다음 목표물에 관련된 정보를 수집한 다음 이를 바탕으로 맞춤형 떡밥을 준비한다. 만약 어떤 특정한 회사에 악성코드를 감염시킬 것을 목표로 한다면 그 회사에 관한 정보, 예를 들면 업무용 서식이나 회사 직제, 중요한 이벤트를 비롯한 정보를 캐낸 다음, 마치 업무 관련 공문인 것처럼 직원들에게 메일을 보낸다. 메일을 보면 '6월 행사 기획서입니다'와 같은 제목을 달고 있는 데다가 메일의 형식도 회사에서 쓰는 것과 비슷하고, 첨부파일도 회사에서 쓰는 파일 이름 형식과 비슷하게 되어 있다. 정말 회사 다른 부서의 누군가가 보냈거니, 하고 다운로드 받았다가 악성코드에 감염되는 것이다.

이런 방식으로 우리나라에서 가장 큰 파문을 일으킨 사건이라면 2014년의 한국수력원자력(한수원)의 해킹 사고. '원전반대그룹'이라는 이름의 해커 집단이 스피어 피싱으로 악성코드를 침투시킨 다음 온갖 자료들을 숨풍숨풍 빼돌려서 인터넷에 공개하면서 한수원을 조롱했다. 공개된 자료 중에는 핵발전소 관련 도면이나 부품도와 같은 것들까지 있었다. 수사 결과 기대에 어긋나지 않고 북한 발표라고 나왔다.

한수원 해킹을 위해서 범인은 퇴직자가 쓰던 계정을 이용했고, 한수원 내부 서식을 그대로 써서 아래아한글 첨부파일을 만들었는데 여기에 악성코드를 심었다. 그리고 한수원 직원들에게 보냈다. 직원들은 메일을 보니 평소에 보던 업무 메일과 다를 바 없어 보이니 첨부된 아래아한글 파일을 열었다가 악성코드에 감염된 것. 실행파일이나 압축파일과는 달리 문서파일은 방심하기 쉬운데, 그래서 던 세계의 스피어 피싱 공격에 제일 많이 쓰는 파일이 MS 워드 문서 파일이다.