Home > 전체기사
코로나 바이러스를 미끼로 한 사이버 공격, 재택 근무자들 노린다
  |  입력 : 2020-04-09 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
VPN 등 원격 근무자들 늘어나며 사용자 증가한 엔드포인트 앱들 주로 노려
취약점 스캔 활동이 실제로 증가해...재택 근무자들의 실수까지도 표적이 되고 있어


[보안뉴스 문가용 기자] 2월부터 다양한 사이버 범죄자들이 코로나 사태를 주제로 한 사이버 공격에 박차를 가하기 시작했다. 전략과 방법론도 다양하게 변하는 중이다. 처음에는 코로나 바이러스에 대한 정보라고 속이며 사용자들의 클릭을 유도했다면, 지금은 대량 발생한 원격 근무자들을 노리기 시작했다.

[이미지 = iclickart]


마이크로소프트의 경우 24시간 동안 발생한 피싱 공격을 분석했는데, 총 2300개의 웹 페이지들이 연루되어 있었다고 한다. 대부분 코로나 사태로 인한 정부 지원금을 테마로 하고 있었으며, 가짜 오피스 365 로그인 페이지로 연결시켰다. 즉 크리덴셜을 빼가기 위한 공격이 주를 이뤘다는 것이다. 또한 원격 근무자들 사이에서 사용될 법한 화상 회의 플랫폼과 VPN을 미끼로 삼는 경우도 늘어나고 있었다.

보안 업체 인트사이츠(IntSights)의 수석 보안 책임자인 이테이 마오르(Etay Maor)는 “공격 표적이 바뀐 것이 지금 시점에서 눈에 띄는 가장 큰 변화”라고 설명한다. “집에서 근무하는 사람들이 기본적인 보안 관련 실수들을 하기 시작했습니다. 이걸 공격자들이 눈치 챘고요. 이미 수없이 많이 얘기되어 온 것이긴 한데, 공격자들의 유연함이 다시 한 번 드러나고 있다고 볼 수 있습니다.”

코로나 바이러스를 테마로 한 사이버 공격은 ‘고급 위협 행위자’들에 속하는 단체들 사이에서도 인기가 높아지고 있다. 중국, 러시아, 북한의 사이버 공격자들도 코로나나 WHO를 미끼로 삼아 피해자들을 노리기 시작했다. 심지어 파키스탄 정부가 배후에 있는 것으로 알려진 APT36 혹은 메이즈(Maze)와, 금전적인 공격만을 하는 것으로 알려진 핀7(FIN7)까지도 코로나 유행에 합류했다.

이에 미국과 영국의 사이버 방어 담당 기구들은 합동으로 보안 권고문을 발표했다. “APT 단체들도 COVID-19 판데믹을 자신들의 공격 도구로 활용하기 시작했다”는 내용이다. “이들은 질병관리본부나 의료 기관인 것처럼 위장해 코로나 바이러스에 관한 정보를 알려준다는 식으로 피해자들에게 접근하면서 악성 링크와 첨부파일을 뿌리고 있습니다. 주의에 주의를 기울여야 하는 상황입니다.”

코로나를 테마로 한 공격 자체가 급증하고 있는 건 아니다. 하지만 다양한 공격 단체들이 자신들의 악성 활동을 이어가는 데에 있어 지금 사태를 응용하고 있는 건 사실이다. 마이크로소프트 365 보안 부문 부회장인 롭 레퍼츠(Rob Lefferts)는 자사 블로그를 통해 “실제 바이러스처럼 무섭게 번지고 있는 건 아니지만, 다양한 변종 전략들이 나오고 있는 중”이라며 “매일 일어나는 사이버 공격 중 코로나를 테마로 한 건 2% 미만”이라고 말했다.

“공격 빈도나 규모가 늘어나는 건 전략의 가짓수가 증가하는 것과는 크게 상관이 없습니다. 가지고 있는 자원이 문제죠. 코로나라는 좋은 미끼가 생겼어도, 공격에 투자할 자원이 갑자기 늘어난 것은 아니기 때문에 공격자들이 공격 규모를 확 키우지는 못합니다. 때문에 코로나라는 미끼만 달라졌지 공격 인프라나 최종적으로 심기는 멀웨어의 종류 등은 크게 바뀌지 않습니다. 하지만 이러면서 ‘공포’를 도구로 삼는 법을 한 차례 더 실험하고 훈련할 수는 있겠죠. 그것이 미래에 어떤 식으로 나타날지는 아무도 모릅니다.”

그래서 미국의 국토안보부 산하 사이버 보안 담당 기관인 CISA는 이미 염려가 한 가득이다. 전국적으로 재택 근무자가 대량 발생하고 있는데다가, 갑자기 재택 근무자들이 사용할 법한 소프트웨어들의 취약점을 스캔하는 행위가 급증하기 시작했기 때문이다. CISA는 보안 권고문을 발표하며, “원격 근무자 대량 발생으로 인한 네트워크 구조 변화와 새롭게 사용되기 시작한 소프트웨어나 플랫폼 등을 통한 공격 시도가 이어지고 있다”고 경고했다. 특히 VPN에 대한 취약점 스캔 활동이 늘어났다는 설명도 덧붙었다.

미국만의 일이 아니다. 보안 업체 멀웨어바이츠(Malwarebytes)에 의하면 파키스탄의 APT 단체인 APT36이 인도의 정부 및 공공 기관들을 공략하기 위해 COVID-19를 테마로 한 공격을 실시했다고 한다. APT36은 의료 기관에서 보낸 권고문으로 위장해 크림슨랫(CrimsonRAT)이라는 원격 접근 도구를 설치했다. 또한 멀웨어바이츠는 “킴수키라고 알려진 북한의 사이버전 부대 역시 COVID-19를 활용해 한국을 공격하고 있다”고 밝히기도 했다.

3줄 요약
1. 코로나를 테마로 한 공격, 이제 국가 지원 받는 APT 단체들도 활용하기 시작.
2. 의료 기관으로 사칭한 공격 이어지는 가운데, 최근 원격 근무자들이 주요 표적이 됨.
3. 자원의 한계 때문에 공격의 규모가 커지진 않았지만, 공격자들의 유연성 다시 증명됨.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)