최근 QR코드를 이용한 피싱(Phishing) 공격이 등장하였습니다.
직접적인 악성URL 코드가 노출되지 않기에 사내의 보안 과정을 통과 할 수 있습니다.
이러한 공격 방식에 대한 자세한 내용을 전달 드리고자 합니다.
이메일 QR코드 공격
QR코드를 이용한 피싱(Phishing) 공격으로 이메일 내 QR코드 이미지를 이용하여 비밀번호 및 신용카드 정보와 같이 기밀을 필요로 하는 정보를 부정하게 얻으려는 소셜엔지니어링의 한 종류입니다.
QR코드를 이용한 가상 메일 피싱 공격 시나리오
(1) 가짜 기업용 그룹웨어 로그인 페이지 URL을 QR코드로 생성하고 (2) 스팸 메일에 QR코드를 추가한다. (3) 추가된 스팸 메일은 타겟 기업의 시스템 관리자로 위장 (예시 이미지 참고)하여 전송한다. (4) 메일은 QR코드 해석 기능이 존재하지 않는 메일 보안 시스템을 우회하고 사용자에게 전달된다. (5) 전달된 메일은 사용자가 열람하면서 QR코드를 스캔한다. (6) 스캔 후 연결된 가짜서버에 연결되고 계정 정보 탈취를 위한 로그인 화면이나 악성코드 다운로드를 통해 랜섬웨어와 같은 피해가 발생 할 수 있다.
QR코드 자격증명
QR코드 자격증명은 온라인 서비스의 사용자 로그인을 위해 기존의 ID/PW를 대신하여 QR코드를 이용한다. 그리고 콘텐츠의 디자인 요소로 활용하여 온라인 서비스의 회원가입 페이지로 쉽게 전환 할 수있게한다. 특히 QR코드를 이용해 자격증명 하는 행위가 익숙하게 느끼는 사람들이 코로나19 감염사태 이전보다 늘어나고 있다.
QR코드와 소셜 엔지니어링
QR코드를 이용한 자격증명이 보편화 될 수록 소셜 엔지니어링을 이용한 공격이 이전 보다 쉽게 목적을 달성 할 수 있기 때문에 QR코드를 이용한 소셜 엔지니어링 공격에 주의가 필요하다.
QR코드를 이용한 악성 이메일 출현
지난 2021년 10월 26일. 피싱 메일 내 QR코드를 이용한 사이버 공격이 등장한 것으로 언론을 통해 공개되었다. (지디넷. "이메일 보안 우회하는 QR코드 사이버공격 등장" - 2021.10.28.)
해당 기사에서 설명하는 QR코드 악성 이메일 공격은 음성 메시지를 외부 서비스에 남겼다는 글과 음성 메시지에 접근 할 수 있는 QR코드(이미지)로 이루어진 메일을 사용한다. QR코드를 스캔하면 실제 사이트 로그인 화면과 동일한 가짜 피싱 사이트로 이동하게 되며 사용자가 입력한 ID/PW를 공격자에게 전달 되는것으로 추정된다. 이외에도 QR코드를 이용한 악성 메일 공격은 설문조사등으로속여 사용자의 개인정보, 금융정보, 기업정보를 탈취하거나 악성코드 배포등을 통해 피해를 줄 수 있다.
QR코드를 이용한 악성 이메일 위협 원인
위협 : QR코드를 이용한 악성이메일 공격
위협 원인 1 : 이메일내 QR코드 이미지 해석및 악성코드 탐지기능부제
위협 원인 2 : 코로나19 감염사태로인한 QR코드 자격증명 경험증가
위협원인 3 : 이메일을이용한소셜엔지니어링공격지속
QR코드를 이용한 피싱 공격은 QR코드와 소셜 엔지니어링이 결합한 공격이다. 또한 일반 스팸 메일 내부의 하이퍼링크 URL을 대신하여 QR코드를 활용한 것이 특징이다. 이미지로 구성된 QR코드를 스캔(해석)하고 URL 추출 및 악성 URL 탐지하는 기능을 통해 QR코드를 이용한 피싱 공격에 대응 할 수 있다. |  |
