IT 사칭 전화 1통으로 통신사를 장악했다. Scattered Spider의 비싱은 디지털 아티팩트가 0이라 탐지할 수 없다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
MITRE ATT&CK: T1566.004 (Spearphishing Voice) | 전술: Initial Access | 플랫폼: Google Workspace, Linux, macOS, Office 365, Windows
2022년, 미국 통신사와 BPO 기업의 직원들에게 전화가 걸려왔다. 발신자는 사내 IT 지원팀을 자칭했다. 보안 업데이트를 위해 원격 모니터링 도구를 설치해야 한다고 안내했다. 직원이 안내대로 RMM 도구를 다운로드하는 순간, 공격자는 시스템을 원격 제어할 수 있게 됐다.
공격자는 Scattered Spider다. CrowdStrike의 분석에 따르면 이 그룹은 IT 인력을 사칭한 전화로 피해자에게 RMM 도구 설치를 유도했다. 2024년 하반기 비싱 공격은 전년 대비 442% 증가했다. 이메일 필터도, URL 스캔도, 첨부파일 분석도 무력하다. 공격의 시작점이 사람의 목소리이기 때문이다.
T1566의 4개 하위 기법을 진입 시점의 디지털 아티팩트 관점에서 비교하면, 비싱만이 초기 아티팩트 0개다.
T1566 하위 기법별 디지털 아티팩트 비교
첨부파일(.001)은 이메일 헤더, 파일 해시, 매크로 코드가 남는다. 링크(.002)는 이메일 헤더와 URL이 남는다. 서비스 경유(.003)는 SNS 플랫폼에 메시지 로그가 남는다. 비싱(.004)은? 통화가 있었다는 기록만 남고, 통화 내용은 어디에도 기록되지 않는다. 이것이 비싱의 근본적 위험이다. 사후 분석(포렌식)에서 "어떤 지시를 받았는가"를 재구성할 수 없다. 피해자의 기억에만 의존해야 한다.
| 하위 기법 | 초기 아티팩트 | 포렌식 재구성 |
|---|---|---|
| .001 첨부파일 | 이메일 + 파일 해시 | 완전 재구성 가능 |
| .002 링크 | 이메일 + URL | URL 변조 시 제한적 |
| .003 서비스 경유 | SNS 메시지 로그 | 플랫폼 협조 필요 |
| .004 비싱 | 통화 기록(내용 없음) | 재구성 불가 |
비싱의 두 번째 특징은 실시간 상호작용이다. 이메일 피싱은 메시지를 보낸 후 피해자의 반응을 기다려야 한다. 전화는 실시간으로 의심을 해소하고, 즉각적인 행동을 유도한다.
Scattered Spider는 외부 RMM 도구(AnyDesk, TeamViewer)를 설치하게 했다. Storm-1811은 한 발 더 나아가 Windows에 기본 내장된 Quick Assist를 활용했다. Microsoft의 분석에 따르면 Storm-1811은 IT 지원을 사칭해 Quick Assist 실행을 유도한 후 Black Basta 랜섬웨어를 배포했다.
비싱 후 두 가지 공격 경로
Quick Assist 경로가 더 위험한 이유가 있다. RMM 도구는 설치 이벤트가 EDR에 기록된다. Quick Assist는 이미 시스템에 존재하는 정상 바이너리라 설치 이벤트 자체가 없다. Living off the Land 기법과 결합되면 탐지가 한층 어려워진다.
| 비교 항목 | Scattered Spider | Storm-1811 |
|---|---|---|
| 사칭 대상 | 사내 IT 지원팀 | 사내 IT 지원팀 |
| 원격 도구 | 외부 RMM (AnyDesk 등) | Quick Assist (기본 내장) |
| 설치 흔적 | EDR에 설치 이벤트 기록 | 설치 없음 (기본 탑재) |
| 최종 목적 | 통신사/BPO 네트워크 침투 | Black Basta 랜섬웨어 |
| 표적 산업 | 통신, BPO | 다수 산업군 |
| 후속 행동 | 횡적 이동 → 데이터 탈취 | 암호화 → 몸값 요구 |
비싱의 다음 진화는 이미 시작됐다. AI 음성 복제 기술로 특정인의 목소리를 합성할 수 있게 되면서, "IT 지원팀 직원의 실제 목소리"로 전화하는 것이 기술적으로 가능해졌다.
기존 비싱은 역할(IT 지원팀)을 사칭했다. AI 비싱은 특정 인물을 사칭한다. 같은 팀의 김 대리 목소리로 전화가 오면, 의심할 이유가 줄어든다. 2024년 홍콩에서는 딥페이크 화상회의로 2,500만 달러가 탈취된 사건이 발생했다.
비싱은 전화 통화 자체를 탐지할 수 없다. 그러나 전화 이후 피해자가 실행하는 행동에서 흔적이 발생한다.
비싱 탐지 전략: 전화 전후 구분
MITRE의 공식 탐지 전략(DET0245)은 기업 디바이스의 통화 로그에서 비인가 번호나 반복 통화 패턴을 모니터링하고, 이후 발생하는 시스템 이벤트와 상관 분석한다.
T1566.004에는 SigmaHQ 전용 룰이 없다. 현실적인 탐지 접근은 두 가지다.
첫째, 비인가 RMM 도구 모니터링. AnyDesk, TeamViewer, ConnectWise 등 원격 접근 도구가 IT 부서의 승인 없이 설치되거나 실행되는 이벤트를 추적한다. 사전에 허용된 원격 도구 목록(allowlist)을 관리하고, 목록 외 도구 실행을 경보한다.
둘째, Quick Assist 세션 모니터링. Quick Assist가 실행된 후 스크립트 다운로드, PowerShell 실행, 비정상 네트워크 연결이 발생하는 패턴을 탐지한다. Microsoft는 Quick Assist 사용 정책 설정을 통해 비인가 세션을 차단할 것을 권고한다.
| 기법 | 링크 |
|---|---|
| T1566 Phishing (상위 기법) | Kimsuky의 딥페이크 군무원증부터 Lazarus의 가짜 면접까지 |
| T1566.001 Spearphishing Attachment | Andariel의 Word 첨부파일: 한국 방산을 노린 침투 경로 |
| T1566.003 Spearphishing via Service | Lazarus의 가짜 채용 면접: LinkedIn에서 시작된 암호화폐 탈취 |
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.