Breaking
사이버 보안(Cybersecurity)
다시 등장한 '기술 지원 사기', 사용자들 무한 루프에 빠지도록 만들어
2019-06-26 18:29:55
장희주
▲기술 지원 사기가 다시 유행하고 있다(사진=ⓒ셔터스톡)

[라이헨바흐=장희주 기자] 기술 발전으로 인해 해커들도 더욱 고급화되고 현대적인 방식으로 해킹을 하고 있지만 최근 들어서 다시 기존의 수법이 유행하고 있어 우려가 제기된다. 사이트를 시스템 오류로 위장한 기술 지원 사기(TSS)로 시스템이나 소프트웨어에 문제가 발생한 것처럼 꾸민 뒤 사용자에게 기술 지원을 가장해 마치 문제를 해결해주는 듯한 수법이다.

사이버 보안 솔루션 전문 업체인 트렌드 마이크로 연구팀에 따르면 현재 인터넷에 등장하고 있는 이 기술 지원 사기는 아이프레임과 기본 팝업 인증을 동시에 사용해 희생자의 브라우저를 응답하지 않게 만드는 새로운 방식이다. 아이프레임은 HTML 문서에서 임의의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임을 의미한다.

연구원들에 따르면 이 수법은 현재 해커들에게 상당히 새로운 전술로 알려진다. 그러나 사용자들을 속이는 행위는 같다. 마치 마이크로소프트같이 합법적인 기술 서비스 제공업체인 것처럼 행동하는 것. 실제로 이러한 방법은 MS에서 사용되는 것으로 이에 탐지를 피할 수 있다는 점에서 해커들에게는 이점이 된다.

 

벗어날 수 없는 무한 루프

TSS 공격자들이 설계한 웹페이지 역시 무심코 보면 합법적인 윈도우 기술 지원 페이지와 동일하게 느껴질 수 있다. 그러나 실제로는 가짜의 윈도우 기술 지원 페이지로 일부 몇 가지 기능들이 누락돼 있다. 그리고 가장 큰 특징은 두 개의 팝업창이 나타나는 것인데 이 중 하나는 희생자의 브라우저에서 작업하는 기능용이다.

그리고 첫 번째 창은 사용자에게 인증을 요청하는 반면 두 번째 창은 윈도우 기술팀으로부터 기술 지원을 요청하도록 만든다. 사실 이 단계까지 오면 잠재 피해자들은 헤어나올 수 없는 과정을 거칠 수밖에 없는데 바로 피해자의 브라우저가 갑자기 작동을 멈추는 것이다. 사용자가 어떤 옵션을 선택하든 브라우저는 처음 시작했던 URL로 돌아가기만 할 뿐 나오지 못한다. 즉 끝이 없는 루프에 빠지게 되는 것으로 취소 버튼을 클릭한다고 하더라도 역시 첫 번째 웹페이지로만 연결된다. 결국 확인 버튼이든 취소 버튼이든 모두 먹히지 않는 것.

루프 생성과 브라우저의 멈춤 현상은 기술 지원 사기 수법에서 활용되는 일반적인 방식이다.
트렌드 마이크로는 이 같은 루프 생성과 브라우저의 멈춤 현상이 기술 지원 사기 수법에서 활용되는 일반적인 방식이라고 설명했다. 그러나 이번 새로운 전술은 브라우저를 멈추게 만드는 방법이 좀 더 독특하다. 원래는 이 수법에서는 해커들이 기본 자바스크립트 코드인 'alert()'와 'confirm()'을 사용해 팝업 버튼을 클릭하면 다시 같은 팝업창으로 돌아갈 수 있는 루프를 반복하게 만드는 것이 특징이다.

▲사용자는 URL과 인증 팝업, 또는 사용자에게 특정 조치를 취하도록 만드는 모든 팝업 메시지에 유의해야 한다(사진=ⓒ셔터스톡)

그러나 새로운 전술에서는 계속해서 새로운 것들을 추가하는 방식을 택해, 더 많은 아이프레임을 활용한다는 데 있다. 브라우저가 URL에 액세스할 때 아이프레임이 표시되도록 웹페이지에 'showLogin'으로 아이프레임을 설정하는 것이다. 그러면 아이프레임의 소스나 콘텐츠는 앞뒤로만 돌아가는 URL에 대한 인증 페이지가 돼 결국 사용자가 헤어나올 수 없는 루프 효과를 만들게 된다.

이에 따라 일단 브라우저가 작동을 멈추면 공격자들은 희생자에게 가짜 기술 지원 페이지에 표시되는 작업을 따르라고 지시한다. 여기에는 사용자의 화면에 표시되는 번호로 전화를 거는 행위도 포함된다. 이때까지도 사실 피해자들은 자신이 범죄의 희생양이 되고 있다는 사실을 거의 눈치채지 못한다.

이 사기 수법은 또한 사용자의 브라우저 유형, 즉 크롬이나 파이어폭스, 마이크로소프트 에지 등에 따라 다양한 버전을 구축하고 있어 더욱 정교하다. 연구팀은 이러한 수법은 각각의 브라우저 유형에 전술이 더 잘 적용되고 들어맞도록 하기 위해 설계된 것으로 분석했다. 다양한 URL 버전을 통해 더 많은 잠재 피해자들을 유인할 수 있는 것이다.

연구팀에 따르면 이 기술 지원 사기에 사용된 URL을 방문한 수는 하루 최대 575번이나 되는 것으로 나타났다. 즉 사기에 현혹돼 가짜 웹사이트에 표시된 URL을 클릭한 피해자들이 그만큼이나 많은 것이다. 

[라이헨바흐=장희주 기자]