전 세계를 뒤흔들고 있는 ‘코로나19’ 사태로 인해 경제는 물론 사람들의 생활 전반이 위태로운 상황에 놓였다. 중국에서 시작된 바이러스는 다른 어떤 무기보다 강력한 공격으로 스며들고 있어 개학이 늦춰진 학생들과 사회인들에게 큰 충격을 안겨주고 있다. 비말 감염이라는 특성 때문에 일부 사업장에서는 직원들에게 ‘재택근무’를 권유하는 등의 조치를 권고하고 있지만, ‘코로나19’로 인한 피해는 그 뒤까지 따라왔다. 그동안 고전적인 수법으로 퍼진 악성 이메일과 랜섬웨어 등이 혼란스러운 현재 상황을 틈타 재택근무자를 비롯한 직장인들에게 큰 위협으로 다가왔기 때문이다.

또한 흔히 요즘 많이 퍼지고 있는 ‘가짜뉴스’와 같은 혹스(Hoax)도 불안감을 야기시키고 있다. 혹스(Hoax)는 존재하지 않는 위협에 대한 과도한 경고로 사람의 불안 심리를 자극하는 가짜 메시지로, 불안감을 일으킬 목적으로 SNS나 이메일 등을 통해 전파된다. 혹스(Hoax)는 일부 장난으로 치부되는 경우도 많지만 시국이 시국인 만큼 현재처럼 사회적인 혼란과 지나친 공포 분위기를 조성해 사람들의 더욱 불안감과 공포심이 증폭되고 있다.

보안업계는 ‘코로나19’로 어수선해진 분위기에 공격자들이 숨어들었고, 공포심에 흐려진 판단력을 이용해 공격 기회를 노린 것으로 추측하고 있다. ‘코로나19’의 확산으로 직접적인 회의나 만남 대신 온라인 소통이 늘어나 이메일이나 메신저의 사용 빈도가 높아진 것도 공격 대상이 된 이유 중 하나로 보인다. WHO가 ‘코로나19’ 팬데믹(세계적 대유행·pandemic)을 선언함에 따라 종식까지 장기전이 될 것으로 예상되기 때문에 앞으로도 보안 수칙에 각별히 주의해야 할 것이다.

▲ 견적서로 위장한 악성 메일이 지속적으로 발견되고 있다. (사진출처=안랩)

안랩에서는 지난 1~2월간 업무 메일과 견적서 등으로 위장한 악성코드 유포 사례가 지속적으로 발견되고 있다고 밝히며 주의를 당부했다. 공격자는 실제 존재하는 기업과 기관을 사칭해서 발주/견적의뢰서, 송장, 이력서 등으로 위장한 악성 메일을 무작위로 발송하고, 메일 본문에 ‘상세 내용은 첨부파일을 확인해달라’는 등의 구체적인 내용을 적어 피해자가 의심없이 메일에 첨부된 악성 파일을 내려 받아 실행하도록 유도했다.

지난 2월에는 발주/견적의뢰서 등 송장(invoice)으로 위장한 악성메일 유포 사례도 발견됐다. 공격자는 실존하는 특정 기업을 사칭해 ‘발주서 송부’ 메일을 보내고 ‘견적을 의뢰하니 첨부 파일을 참조해 협조 부탁드린다’는 메일 본문에 ‘OOO(기업명)-발주서 송부의 건’이라는 악성코드를 포함한 압축파일을 첨부했다. 공격자는 우체국을 사칭한 ‘배송 정보’라는 제목의 메일도 발송해 ‘사무실에 잘못된 주소의 소포가 있다. 첨부 파일을 확인해 지역 사무실을 방문해달라’라는 본문과 ‘배송정보 문서’라는 파일명의 악성파일을 첨부했다.

채용이 활발한 1월에는 이력서를 위장한 악성메일이 발견되기도 했다. 공격자는 의심을 피하기 위해 메일의 첨부파일에 ‘이력서(날짜) 뽑아 주시면 열심히 하겠습니다 잘 부탁드립니다’라는 이름의 악성파일을 첨부했다. 또한 해당 악성파일의 아이콘 이미지를 PDF문서 아이콘으로 꾸며 놓아 사용자가 PDF문서파일로 오인해 해당 악성코드를 실행하도록 유도했다.

메일은 첨부된 파일은 대개 이미지(.img)* 파일로, 내부엔 실행 파일(.exe)을 포함하고 있다. Img 파일은 한 CD의 내용을 압축하여 한 장의 사진처럼 만든 파일로, 압축 프로그램으로 압축을 해제하여 실행할 수 있다. 수신자가 압축을 풀고 해당 파일을 실행하면, 악성 파일은 특정 구글 드라이브의 URL에 접속해 악성코드를 추가로 다운로드 받는다. 공격자는 수신자의 의심을 피하기 위해 일반 사용자들에게도 친숙한 구글 드라이브를 이용한 것으로 추정된다.

이러한 사례에서 사용된 악성코드는 모두 PC감염 이후 컴퓨터 사용자 이름, 운영체제, PC 활동 내역, 키보드 입력 정보, 클립보드 내용 등 사용자 정보를 공격자의 서버로 전송한다. 또한 사용자 PC 원격제어, 추가 악성코드 다운로드 후 설치 등 추가 악성행위를 할 수 있어 사용자의 각별한 주의가 필요하다.

▲ ‘코로나19’를 악용한 악성 이메일 공격이 발견되고 있다. (사진출처=이스트시큐리티)

본격적으로 ‘코로나19’의 공포심을 이용한 악성 이메일 공격이 발견되기도 했다. 이스트시큐리티에 따르면 김수키(Kimsuky) 조직의 소행으로 추정되는 ‘코로나19’ 바이러스 확산 사태를 사이버 공격에 이용한 관련 악성 이메일이 발견되고 있다. 김수키 조직은 특정 정부의 후원을 받는 것으로 알려진 대표적인 사이버 공격 집단으로, 문정인 특보 사칭, 대북 국책연구기관 사칭 스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 지속적으로 반복하고 있다.

악성 이메일은 유창한 한글로 내용이 작성되었으며, 수신자가 의심 없이 메일을 열어 보도록 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 보인다. 이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포된 것으로 확인되며, 코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명이 ‘코로나바이러스대응.doc’인 악성 MS워드 문서가 첨부되어 있다고 밝혀졌다.

수신자가 이 악성 문서 파일을 열람하게 되면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 다운로드한다. 추가로 다운로드된 악성코드는 ‘코로나바이러스감염증-19 대책 회의’라는 이름의 또 다른 한글 작성 문서를 띄워 사용자 의심을 더는 동시에, 사용자가 알아채지 못하게 PC 계정정보, 호스트 네임, 네트워크 속성, 사용 중인 프로그램 목록, 실행 중 프로세스 목록 등 각종 정보를 수집한다. 또한 공격자로부터 추가 명령을 받을 수 있도록 윈도 작업 스케쥴러에 업데이트 프로그램으로 자기 자신을 등록하여, 3분 간격으로 실행하게 만드는 치밀함도 보였다.

이스트시큐리티는 ‘코로나19 실시간 현황’ 조회 프로그램으로 위장한 악성코드도 발견되었다고 소개했다. 새롭게 발견된 악성코드는 ‘코로나 국내 현황’, ‘국내 코로나 실시간 현황’ 등의 파일명을 사용하는 실행 프로그램(EXE) 형태로, 파일을 실행하면 변종에 따라 ‘실시간 코로나19 현황’이라는 제목의 팝업창이 나타난다. 팝업창에는 실제 코로나19 감염 현황을 보여주는 것처럼 확진 환자, 격리해제(완치), 사망자, 검사중 등 4가지 항목과 그에 따른 숫자 정보가 나타난다.

이 과정에서 해당 악성 프로그램은 사용자 몰래 PC 임시 폴더에 또 다른 악성 코드를 자동으로 설치한다. 새롭게 생성된 악성코드는 실제 악성 행위를 수행하는 기능을 가지고 있으며, 감염된 사용자 PC는 원격제어, 키로깅, 화면 캡처, 추가 악성코드 설치, 정보 탈취 등 다양한 공격에 노출된다.

▲ KISA는 ‘118상담센터’에 대한 비상운영 체계를 가동 중이다. (자료출처=kisa.or.kr)

이에 KISA(한국인터넷진흥원)은 ‘코로나19’를 악용한 사례들을 지원하기 위해 해킹·개인정보침해·스팸 등의 사이버 고충 민원에 대한 전화 상담 서비스를 제공하는 ‘118상담센터’에 대한 비상운영 체계를 가동하기 시작했다. 118상담센터에는 최근 콜센터에 대한 집단 감염 우려가 급증함에 따라 비상 상황 발생에 대한 선제적 대응을 강화하고 있다.

KISA는 감염 예방을 위해 118상담센터 긴급 방역과 직원간 거리두기를 위해 직원들의 책상이 서로 마주보지 않도록 센터 내부 구조 전면 재배치했으며, 하루에 1회 이상 수시 방역 및 소독약, 알콜, 체온계 상비 등의 조치를 시행 중이다. 118상담센터 내 자가격리자 또는 확진자 발생 등 만일의 경우에도 연속성 있는 대국민 서비스를 제공할 수 있도록 상담사 자택과 VPN 연결, 상담전화 포워딩 등 재택근무를 위한 시스템 구축을 단계별로 추진 중에 있다. 이와 함께 KISA는 인터넷침해대응센터 종합상황실, 인터넷주소자원센터 및 전자서명인증관리센터 등 대국민 서비스에 대해서도 비상 근무인력 확보, 원격근무 등 업무지속계획을 수립하여 운영 중이다.

평소 생활에서도 조심하고 경계해야 하는 스미싱, 스팸, 악성 이메일 공격 등은 현재 ‘코로나19’ 사태에 편승해 더욱 큰 위협을 가하고 있다. 이러한 사이버 위협에 대한 피해를 최소화하기 위해서는 국민들이 불안감과 공포심을 안기보다 한 단계 더 의심하고 주의를 기울이는 것이 중요하다. 이에 직장인들은 악성코드 감염을 방지하기 위해 출처가 불분명한 메일의 첨부파일 실행은 자제하고, 백신을 최신 버전으로 사용하는 것이 권고된다. 또한 OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램에 최신 보안 패치를 적용시키는 등 기본 보안수칙을 지켜야 한다.

또한 이스트시큐리티를 포함한 보안업계에서는 관련 정보를 질병관리본부 공식 홈페이지 등 출처를 신뢰할 수 있는 곳에서 확인하는 것을 권장한다고 당부하고 있다. KISA의 118센터 뿐만 아니라 안랩의 ‘V3 Lite’, 이스트시큐리티의 ‘알약M’ 등 보안업계 벤더들은 애플리케이션과 홈페이지 등을 통해 공식 정보나 소식을 알리고 있다.

Copyright ⓒ Acrofan All Right Reserved.