by Wizard

눈치채기 힘든 피싱 공격: Blob URI를 이용한 로그인 정보 탈취 수법

최근 보안 연구진이 흔히 사용되지 않는 기법을 활용하여 로그인 정보를 훔치는 피싱 공격을 발견했습니다. 특히 암호화로 보호된 계정 정보까지 탈취할 수 있다는 점에서 더욱 심각성을 더합니다. Cofense의 새로운 연구에 따르면, 공격자들은 브라우저의 임시 로컬 콘텐츠 표시 기능인 Blob URI를 악용하여 피싱 페이지를 전달하고 있습니다.

Blob URI란 무엇이며, 왜 위험한가?

Blob URI는 사용자 브라우저 내에서 생성되고 접근되는 URL입니다. 피싱 콘텐츠가 공개 서버에 존재하지 않기 때문에 기존의 보안 시스템으로는 탐지하기가 매우 어렵습니다. 마치 숨겨진 통로처럼 보안망을 우회하는 셈입니다.

공격 과정: 감쪽같은 속임수

피싱 공격은 일반적으로 보안 이메일 게이트웨이(SEG)를 쉽게 통과하는 이메일로 시작됩니다. 이메일에는 Microsoft OneDrive와 같은 신뢰할 수 있는 도메인에서 호스팅되는 것처럼 보이는 링크가 포함되어 있습니다. 하지만 이 페이지는 직접적으로 피싱 콘텐츠를 호스팅하는 것이 아니라, 공격자가 제어하는 HTML 파일을 로드하여 Blob URI로 디코딩합니다. 결과적으로 피해자의 브라우저 내에 가짜 로그인 페이지가 렌더링됩니다. 이 페이지는 Microsoft 로그인 포털과 매우 유사하게 만들어져 사용자가 의심 없이 로그인을 시도하게 만듭니다.

흔적 없는 침투: 보안 시스템 무력화

피해자가 '로그인'을 클릭하면 페이지는 또 다른 공격자 제어 HTML 파일로 리디렉션되어 스푸핑된 로그인 페이지를 표시하는 로컬 Blob URI를 생성합니다. Blob URI는 브라우저 메모리 내에서 작동하며 외부에서는 접근할 수 없기 때문에 기존 보안 도구는 콘텐츠를 스캔하거나 차단할 수 없습니다. Cofense Intelligence Team의 Jacob Malimban은 "이 방법은 탐지 및 분석을 특히 까다롭게 만듭니다. 피싱 페이지는 Blob URI를 사용하여 로컬에서 생성되고 렌더링됩니다. 온라인에서 호스팅되지 않으므로 일반적인 방식으로 스캔하거나 차단할 수 없습니다."라고 설명합니다.

진화하는 위협에 대한 대비

스푸핑된 페이지에 입력된 자격 증명은 피해자가 모르는 사이에 원격의 공격자에게 유출됩니다. AI 기반 보안 필터도 이러한 공격을 잡아내기 어렵습니다. Blob URI가 악의적으로 사용되는 경우가 드물어 학습 데이터에 제대로 반영되지 않았을 수 있기 때문입니다. 연구진은 탐지 방법이 발전하지 않으면 이 기술이 공격자들 사이에서 더욱 인기를 얻을 것이라고 경고합니다. 이러한 위협에 대비하기 위해 조직은 FWAAS(Firewall-as-a-Service) 및 ZTNA(Zero Trust Network Access) 솔루션을 도입하여 접근 보안을 강화하고 의심스러운 로그인 활동을 감지해야 합니다.