Blog

세금 신고 기간: 해커들도 숫자 게임을 합니다

Written by

Steve Ragan

May 11, 2021

해커들은 세금 신고 기간을 좋아합니다. 사람들이 이 기간에 스트레스와 다급함을 느끼기 때문에 피해자들은 여러 종류의 공격에 매우 취약해집니다. 해커들은 세금 신고 기간에 피싱 외에도 LFI(Local File Inclusion), SQLi(SQL Injection), 크리덴셜 스터핑을 비롯한 여러 가지 공격을 발생시킵니다.

IRS는 세금 신고 기한을 2021년 5월 17일로 변경했는데 이에 따라 해커들이 새로운 날짜에 맞춰 2차 공격을 진행할 것으로 예상됩니다.

참고:

본 게시물은 2018년, 2019년, 2020년 3월 18일부터 4월 29일 사이에 관측된 공격 데이터를 기반으로 작성되었습니다. 또한 2020년 6월 17일부터 7월 29일 사이의 데이터도 검토했습니다.

이 기간의 데이터를 분석한 이유는 일반적인 세금 신고 기간 전, 도중, 이후의 공격 트래픽을 조사하기 위해서입니다. 크리덴셜 스터핑은 데이터의 규모와 복잡성 때문에 2020년의 데이터만 집중적으로 검토할 것입니다. 데이터를 검토할 때 정부 기관과 이를 지원하는 민간 기업 등 미국 공공 부문에 집중했습니다.

웹 공격

거의 모든 사람들이 세금 신고 기간에 피싱에 대해 이야기합니다. 본 게시물의 뒷부분에서도 언급하겠지만 다른 공격 방식도 많이 활용되고 있습니다. Akamai는 2018년에 440만 건, 2019년에 1800만 건의 웹 애플리케이션 공격을 관측했습니다. 실제로 Akamai는 2019년 미국 세금 신고 기한 직후에 1000만 건의 LFI 공격을 관측했습니다.

2020년에 발생한 총 2020만 건의 웹 애플리케이션 공격 중 1090만 건이 6월 17일부터 7월 29일 사이에 발생했습니다. IRS는 COVID 때문에 세금 신고 기한을 연장했으며 해커들은 이를 이용해 추가 공격을 감행했습니다.

그 이유는 무엇일까요?

LFI 공격은 일반적으로 PHP를 중심으로 서버 측에서 실행하는 다양한 스크립트를 노립니다. 그러나 LFI는 ASP, JAP, 기타 웹 기반 기술을 공격할 수도 있습니다. 공격에 성공하면 민감한 정보가 유출되는 경우가 많으며 이런 정보는 추가 공격에 활용될 수 있습니다. 동시에 LFI는 취약한 자바스크립트를 사용해 클라이언트 측에서 명령어를 실행하고 크로스 사이트 스크립팅(CSS)이나 DoS(서비스 거부 공격)를 일으킬 수 있습니다.

반면 SQLi는 웹사이트나 서비스를 직접 공격해 기업이 갖고 있는 정보를 노출시키거나 데이터베이스에 직접 접속하려 합니다. 해커들이 악용하는 SQLi의 더욱 사악한 측면은 명령어 실행입니다.

Accellion은 2020년 12월 Accellion FTA(File Transfer Applicance)의 제로데이 SQLi 취약점을 인지했습니다. FTA는 정부 기관은 물론 의료, 법률, 통신, 금융 부문의 민간 기업들이 사용하는 파일 전송 애플리케이션입니다.

해커들은 제로데이 취약점을 이용해 전 세계 기업에 침투합니다. 해커들은 SQLi를 주요 감염 수단으로 사용해 루트 쉘을 구축한 후 데이터를 유출하는 데 사용합니다. 해커들은 일부 피해자들을 이용해 해킹한 데이터가 일반에 공개되지 못하게 차단합니다.

이 공격 체인의 세부 정보와 4가지 관련 CVE는CISA(Cybersecurity and Infrastructure Security Agency) 웹사이트에서 확인할 수 있습니다.

인증정보 도용

크리덴셜 스터핑으로 알려진 인증정보 도용은 해커들이 좋아하는 자동 공격 방식입니다. 크리덴셜 스터핑은 숫자 게임입니다. 세금 신고 기간에 사람들이 온라인으로 세금 신고를 할 때 취약하거나 재사용되는 비밀번호를 선택한다는 점을 노립니다.

2020년에는 공공 부문에서 2억 5500만 건의 크리덴셜 스터핑 공격이 발생했으며, 그중 56%(1억 666만3107 건)가 6월 17일부터 7월 29일 사이에 발생했습니다.

그 이유는 무엇일까요?

크리덴셜 스터핑은 효과적입니다. 이것이 바로 해커들이 크리덴셜 스터핑 공격을 일으키는 이유입니다. 해커들은 사람들이 취약하거나 비밀번호를 재사용한다는 점에 착안해 로그인 조합 목록을 만들고 여러 서비스에서 테스트합니다. 동일한 비밀번호를 재사용하기 때문에 한 계정 또는 서비스를 해킹하는 데 성공하면 다른 계정이나 서비스도 해킹할 수 있습니다.

크리덴셜 스터핑 공격의 규모는 2020년 말로 접어들면서 눈에 띄게 증가했으며 SEC의 OCIE(Office of Compliance Inspections and Examinations)는 SEC 등록 투자 자문, 브로커 및 딜러, 등록 기관 기업에 공격이 증가했다는 것을 알렸습니다.

OCIE는 "크리덴셜 스터핑 공격의 빈도가 증가했으며 이 중 일부는 고객 자산 손실과 고객 정보에 대한 무단 접속으로 이어졌다"고 경고했습니다.

세금 신고 기간에 발생하는 크리덴셜 스터핑 리스크는 최근의 일이 아닙니다. TaxSlayer, LLC는 해커들이 크리덴셜 스터핑 공격 기법으로 2015년 10월부터 12월까지 약 9000개의 계정을 해킹했다고 2015년에 발표했습니다. 이에 대해 FTC(연방거래위원회·Federal Trade Commission)는 TaxSlayer가 개인정보규칙과 Gramm-Leach-Bliley 법의 세이프가드 규칙을 위반했다고 고소장에서 주장했습니다. 2017년 FTC는 TaxSlayer와 혐의에 대해 합의했습니다.

피싱 공격:

앞서 언급했듯이 피싱은 세금 신고 기간에 해커가 사용하는 또 다른 일반적인 공격 방식입니다. 해커들은 인기 세금 브랜드는 물론 IRS(Internal Revenue Service)로 위장해 피해자들을 속이고 민감한 정보를 빼낸 후 세금 사기와 기타 ID 관련 범죄에 사용합니다.

IRS는 PIN, 비밀번호, 사용자 이름, 주 신분증에 일반적으로 표시되는 정보 같은 개인 정보를 요청하기 위해 이메일, 문자 메시지, 소셜 미디어를 통해 납세자에게 절대 먼저 연락하지 않습니다.

마찬가지로 IRS는 신용 카드 세부 정보, 은행 세부 정보, 기타 금융 관련 정보를 비롯한 금융 정보를 얻기 위해 동일한 통신 채널을 통해 절대 연락하지 않습니다.

세금 사기를 당한 것으로 의심될 경우 대응 방법에 대한 자세한 정보는 CISA 웹사이트를 참조하시기 바랍니다.



Written by

Steve Ragan

May 11, 2021