[디지털투데이 양대규 기자] 신종 코로나바이러스 감염증(코로나19) 확산을 악용한 사어버 공격이 기승을 부리고 있어 피해 예방을 위한 이용자들의 각별한 주의가 요구된다.

4일 업계에 따르면 코로나19로 재택근무나 원격 화상회의 등을 도입한 기업이 크게 늘고, 외부 활동 대신 집에서 생활하는 시간이 증가하면서 개인 PC의 취약한 보안체계를 노린 악성 메일 공격이 급증하고 있다.

‘코로나19 현황·대응방안’ 등 피싱 메일 늘어

우선 코로나19와 관련 악성 메일이 증가하고 있다. 보안 업체들에 따르면 지난달부터 '코로나19 실시간 현황', '코로나바이러스 대응 방안', '긴급상황' 등의 제목으로 악성 메일이 무차별 유포되고 있다.

지난달 25일 이스트시큐리티는 ‘코로나19 실시간 현황’ 조회 프로그램으로 위장한 악성코드가 발견됐다고 밝혔다. 이스트시큐리티에 따르면 이 악성코드는 ‘코로나 국내 현황’, ‘국내 코로나 실시간 현황’ 등의 파일명을 사용하는 실행 프로그램(.exe) 형태다. 파일을 실행하면 변종에 따라 ‘실시간 코로나19 현황’이라는 제목의 팝업창이 뜬다. 팝업창에는 실제 코로나19 감염 현황을 보여주는 것처럼 확진환자, 격리해제(완치), 사망자, 검사중 등 4가지 항목과 숫자 정보가 표시된다.

하지만 이런 악성 프로그램은 사용자 몰래 PC 임시 폴더에 또 다른 악성 코드를 자동으로 설치한다. 사용자 PC가 감염되면 원격제어, 화면 캡처 등의 공격에 노출된다.

이스트시큐리티는 또 지난달 27일 '코로나 바이러스 관련 이사장님 지시사항'이라는 제목의 메일이 국제 교류 단체 등 일부 국내 기관을 상대로 유포됐다고 밝혔다. 메일에는 '코로나 바이러스 대응.doc'라는 파일이 첨부돼 있다. 파일을 열면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작해 사용자의 PC에 추가 악성코드가 설치된다. 이른바 '스피어 피싱' 수법이다.

이번 공격을 시도한 곳은 북한과 연계하는 것으로 알려진 해킹 조직 '김수키(Kimsuky) 그룹'으로 회사 측은 분석했다. 이스트시큐리티 대응센터(ESRC)는 지난 1월 발견된 문정인 대통령 통일외교안보특별보좌관의 세미나 파일로 위장한 스피어 피싱 공격의 변종으로 판단했다.

ESRC는 지난달 22일에도 자사가 수집한 악성샘플이 엑셀 파일로 유포됐다고 밝힌 바 있다. 엑셀 아이콘과 이중 확장자를 이용해 메일을 받은 사람들의 클릭을 유도하고 있다는 것이다.

사용자가 파일을 엑셀파일로 착각해 실행하면, CXK-NMSL(혹은 ChineseBAT) 랜섬웨어에 감염된다. 랜섬웨어에 감염되면 사용자 파일을 암호화 한 후, 확장명을 cxk_nmsl로 바꾸는 것으로 분석됐다.

(사진=이글루시큐리티)
코로나19 관련 악성메일(사진=이글루시큐리티)

'질본 사칭' 메일…'개인정보 입력' 요구하는 사칭 페이지로 이동

지난달 25일 지란지교시큐리티는 질병관리본부(질본) 공지 내용으로 위장, 코로나 관련 감염 현황 도시를 확인할 수 있는 가짜 인터넷주소(URL)을 본문에 포함한 악성메일을 발견했다고 밝혔다.

메일 본문에 특정 URL이 포함된 것으로 보이지만 실제로는 메일 본문 전체가 이미지 파일이다. 이미지를 클릭하면 또 다른 URL로 접속된다. 여기 이메일과 비밀번호를 입력하는 질본 사칭 페이지가 열린다. 사용자가 해당 페이지에서 이메일과 비밀번호 등 개인정보를 입력하면 해당 정보는 암호화돼 해커가 접속하는 외부 서버로 전달된다.

보안 전문가들은 최근 코로나19 피해를 예방하는 차원에서 재택근무를 채택하는 기업들이 늘면서 평소보다 이메일 열람을 자주 할 가능성이 높다며 악성 메일 피해도 늘어날 것으로 우려하고 있다.

문종현 이글루시큐리티 대응센터(ESRC) 센터장 이사는 “최근 사이버 공격은 사회적 관심이 높은 사안을 악용해 사용자의 심리를 노리는 공격 수법을 사용하고 있다"며 "지난 1월 하순부터 코로나(우한 폐렴) 키워드를 악용한 광고성 문자, 피싱 메일 등이 지속적으로 발견되고 있다"고 말했다.

질병관리본부 사칭 악성메일(사진=지란지교시큐리티)
질병관리본부 사칭 악성메일(사진=지란지교시큐리티)

해외에도 WHO·CDC 사칭 메일 급증

이런 공격은 국내뿐만 아니라 해외에도 심각하다. 코로나19 확산을 틈타 국제 보건당국을 사칭한 '피싱 이메일'이 기승을 부리고 있다.

지난달 19일(현지시각) NBC는 이메일을 이용해 개인정보나 자산을 탈취하고, 컴퓨터를 악성 소프트웨어에 감염시키는 범죄자들이 코로나19 발생이라는 호기회를 놓치지 않고 있다고 보도했다.

코로나19를 앞세운 피싱 이메일은 2월 초 처음 등장했다. 이런 피싱 이메일은 세계보건기구(WHO)나 미 질병통제예방센터(CDC) 같은 기관을 앞세운 것이 특징이다. 발송자의 주소도 해당 기관의 사이트 주소와 비슷하게 만들어 언뜻 보면 합법적 기관에서 보낸 것처럼 보인다.

메일을 열어봐도 크게 이상한 점은 눈에 띄지 않는다. 코로나19에 따른 안전조치법에 관한 첨부 문서를 내려받도록 안내하는 정도다. 하지만 첨부 문서를 클릭하면 이메일 정보를 빼내기 위해 만들어둔 사이트로 연결된다.

전문가들은 피싱 이메일이 WHO에서 안전 조치를 제공하는 것 같이 생겨 일반인들은 쉽게 속을 수 있다고 지적한다.

인터넷 보안업체인 카스퍼스키가 찾아낸 한 피싱 이메일은 CDC 이름으로 발송됐으며 연결된 주소를 클릭하면 주변 도시의 새로운 환자 명단을 확인할 수 있다며 클릭을 유도한다. 안내한 주소도 'cdc'가 포함돼 의심을 살 여지를 줄였다.

하지만 이 주소를 클릭하면 가짜 마이크로소프트 아웃룩 페이지로 연결돼 로그인 페이지에서 사용자 이름과 비밀번호를 입력하도록 한다.

CDC를 사칭한 또 다른 이메일은 메일 수신자에게 코로나19 대응을 위한 대규모 프로젝트 기금 마련에 동참해달라고 부탁한다.

전문가들은 CDC 같은 공공기관 사이트는 로그인 절차가 필요치 않다으며, CDC는 국민 세금으로 운영하는 정부 기관으로, 개인의 기부금은 받지 않는다고 설명했다.

질병통제예방센터(CDC)를 빙자한 피싱 이메일 사례[카스퍼스키사 홈페이지 캡처]
CDC 사칭 피싱 이메일(사진=카스퍼스키 홈페이지 갈무리)

집에 있는 시간 많아져 '불법 다운' 사이트서도 랜섬웨어 유포

직접적인 악성 메일 공격 외에도 간접적인 방법으로 랜섬웨어도 퍼지고 있는 것으로 나타났다. 집에 있는 시간이 늘어나면서 불법 영화 다운로드 사이트로 랜섬웨어가 유포되고 있는 것이다.

지난 2일 안랩은 최근 불법 영화 다운로드 사이트에서 ‘매그니베르(Magniber)’ 랜섬웨어를 유포하는 사례를 발견했다고 밝혔다.

안랩에 따르면 매그니베르 공격자는 '멀버타이징 기법'을 사용해 해당 랜섬웨어를 유포했다. 코로나19 확산으로 집에 머물며 영화를 즐기려는 사용자를 노린 것으로 추정된다는 것이다. 멀버타이징은 악성코드(Malware)와 광고(Advertising)의 합성어다. 정상적인 광고 서비스 네트워크를 악용하여 악성코드를 유포하고 감염시키는 방법이다.

사용자가 특정 영화 불법다운로드 사이트에 접속해 영화를 고른 뒤 ‘영화 다운로드’ 버튼을 클릭하면 영화 다운로드용 웹페이지로 이동한다. 공격자는 이 다운로드용 웹페이지에 악성 광고를 게시했다.

악성 광고가 게시된 페이지에서는 사용자가 별다른 행위를 하지 않아도 자동으로 악성코드를 유포하는 페이지로 또 한 번 이동하게 된다. 보안 설정이 취약한 PC는 결국 이 랜섬웨어에 감염된다는 것이다.

오민택 안랩 분석팀 연구원은 “‘코로나19’ 확산으로 집에 머무는 시간이 증가하는 만큼 온라인으로 영화를 시청하려는 사용자를 노린 공격이 증가할 수 있다”고 지적했다.

악성코드 포함된 불법 다운로드 사이트(사진=안랩)
악성코드 포함된 불법 다운로드 사이트(사진=안랩)

"기본 보안 수칙 지켜야…코로나19 정보 신뢰할 수 있는 곳에서만 확인"

보안 전문가들은 이런 사이버 공격으로 인한 피해를 막기 위해 출처가 불분명한 메일의 첨부파일이나 인터넷주소(URL) 실행을 하면 안된다고 경고한다. 특정 이메일 주소 링크를 클릭하기 전에 자세히 알아보며 비밀번호가 노출됐다는 판단이 들면 가능한 한 빨리 바꿔야 한다고도 설명했다.

무엇보다 ▲정품 콘텐츠 이용 ▲운영체제(OS), 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 보안 패치 적용 ▲최신 버전 백신 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다고 보안 전문가들은 강조한다.

문종현 센터장은 “재택근무시 가상사설망(VPN)을 통해 기업 내부망에 접속을 하고 있는 상황에서는 더욱 외부 이메일이나 첨부파일을 열람하기 전 주의를 기울여야 한다”며 코로나와 관련된 정보는 질병관리본부 공식 홈페이지 등 출처를 신뢰할 수 있는 곳에서 확인할 것을 권장한다고 말했다.

지란지교시큐리티 관계자는 "스팸 차단 솔루션을 이용하는 경우 차단 정책을 추가 설정해야 하고, 방화벽에서 목적지(DST) IP 기준으로 접속되지 않도록 차단해야 한다"며 "해당 메일 외에도 유사 이메일을 주의 하라는 기업 내 보안공지가 필요하다"고 조언했다.

오민택 안랩 연구원은 “영화 등 콘텐츠는 반드시 정식경로로만 이용하고, 주기적인 인터넷 브라우저 보안 패치로 혹시 모를 감염에 대비하는 자세가 필요하다”고 강조했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사