일상이 먹잇감...재난 이용 보안위협 ‘활개’

코로나바이러스 감염증-19와 언택트 소비를 이용한 보안위협이 일상을 위협하고 있다. 주요 보안 업체들은 보안 기본 수칙만 지켜도 돌이킬 수 없는 피해를 예방할 수 있다고 강조한다.

안랩은 올 상반기 보안위협을 5가지 유형으로 최근 분류했다. 주된 보안 위협은 △코로나19 이슈 활용 악성코드 유포 △재난 상황 이용한 모바일 보안위협 활개 △주요 기반시설·기관 대상 사이버 공격 지속 △운영기술(Operational Technology·OT) 환경을 노린 랜섬웨어 △섹스토션(Sextortion·성착취) 관련 내용이다.

우선 공격자는 코로나19 관련 가짜 정보와 세계보건기구(WHO), 질병통제예방센터(CDC) 사칭 메일 등으로 악성코드를 유포했다. 온라인 개학과 원격 업무 등 생활 양식이 온라인 중심으로 변하자 업무관련 소프트웨어(SW) 다운로드와 게임, 온라인 개학 관련 키워드 등을 이용해 랜섬웨어를 유포했다. 이번 이슈를 활용한 피싱 공격은 앞으로도 이어질 수 있다. 이메일 발신자 확인은 물론 출처가 불분명한 메일 속 첨부파일과 URL(인터넷 주소) 실행을 피해야 한다.

이번 사태로 언택트가 떠오르면서 스마트폰을 이용한 쇼핑과 게임, 교육활동이 늘었다. 공격자도 이에 발맞춰 개인정보와 금전 탈취를 시도하고 있다. 올해 상반기 꾸준히 발견된 ‘택배 배송 안내’ 위장 스미싱이 대표 사례다. 스미싱은 문자메시지(SMS)와 피싱(Phishing) 합성어다. 악성 혹은 피싱 URL이 포함된 휴대폰 문자를 보내 사용자의 금융·개인정보를 탈취한다.

공격자 그룹은 악성파일을 다운로드하는 웹사이트로 사용자를 유도해 실제 스마트폰 접속 여부와 다운로드 목적을 확인하는 등 보안업체의 탐지 우회를 시도했다.

긴급재난지원금을 사칭한 스미싱도 다수 등장했다. 공격자는 공신력 있는 기관을 사칭해 ‘선착순 지급’, ‘한도 소진 임박’ 등을 내세워 악성 URL 실행을 유도했다. 사용자는 문자 메시지 발송자를 확인하고 메시지 속 URL 실행을 자제해야 피해를 막을 수 있다.

주요 기반시설과 기관 대상 사이버 공격 시도는 상반기에도 끊임 없었다. 2월에는 국내 특정단체 소속 실제 직원의 이름으로 위장해 직책자들에게만 악성파일을 첨부 메일을 발송하는 스피어 피싱 공격도 있었다. 스피어 피싱은 불특정 다수가 아닌 특정인(조직) 대상으로 악성 메일을 보내는 표적형 피싱 공격이다. 공격자가 해당 단체의 인적정보를 사전에 수집해 공격에 이용한 것으로 안랩은 추정한다.

이밖에 코로나19 감염 관련 특정 종교 자료로 위장한 악성 문서파일, 보건 마스크 관련 중국 상황 브리핑을 위장한 악성메일 사례도 있었다. 안랩은 대부분 악성코드가 감염 PC 내 정보 유출과 키보드 입력값 기록, PC 원격조종, 추가 악성코드 다운로드 등 타깃 단체에 큰 피해를 입힐 수 있는 악성기능을 갖췄다고 설명했다. 출처 불명 메일과 첨부파일에 주의하고, 워드 프로세서와 유틸리티 등 자주 사용하는 프로그램의 최신 업데이트와 보안 패치를 반드시 실행해야 피해를 줄일 수 있다.

스마트시티와 스마트팩토리 등에서 OT 환경이 등장하면서 랜섬웨어 활동 반경도 넓어졌다. 올 상반기에 발견된 ‘스네이크 랜섬웨어’는 특수목적시스템 타깃 랜섬웨어다. 윈도우 운영체제(OS) 기반 기계 조작 용도 HMI(Human-Machine Interface) 기기, 데이터 보관 서버 등만 감염시키는 점이 특징이다.

또한 윈도우 백업 파일을 제거해 시스템 복구를 원천 차단하고 암호화 이후 원격 계정 연결을 유지하며 추가 권한 탈취를 진행했다. 이는 향후 피해 조직에 대한 추가 보안위협을 시도하기 위한 것으로 안랩은 추정한다. 특수 목적 시스템 보안체계 구축이 필요하다.

성적 행위 관련 민감 자료를 확보한 뒤 이를 유포하겠다며 협박하는 섹스토션도 기승을 부린다.
대표적 수법은 ‘웹캠 블랙메일(Webcam Blackmail)’이다. 이 메일은 공격자가 상대방을 속여 화상 채팅으로 성적 행동을 유도해 녹화한 후 ‘해당 영상을 지인에게 공개하겠다’며 상대방에게 돈을 요구하는 행위다. 국내에서는 ‘몸캠피싱’으로 불린다.

이 과정에서 공격자는 피해자의 스마트폰 연락처를 빼내기 위해 악성 앱 설치를 유도한다. 이에 속은 피해자가 악성 앱을 설치하면 주소록과 문자 메시지 등을 탈취한다. 최근에는 “당신의 음란 사이트 접속 사실을 알고 있고 성적 행위도 녹화했다”는 허위 섹스토션 메일로 가상화폐를 요구하는 사례도 최근 있었다.

국민 건강 검진 통지를 사칭한 스미싱 공격도 이어지고 있다. 이스트시큐리티에 따르면, 해당 스미싱은 사칭 SMS를 발송해 악성 URL 접속을 유도한다. 수신자가 URL을 누르면 해외 클라우드 저장소에 저장된 악성 앱을 다운로드 하게 된다.

이 회사 시큐리티대응센터(ESRC)는 지난주부터 발견된 여러 스미싱 공격이 동일 클라우드 서비스로 악성 앱 설치를 유도한다고 분석했다. 동일한 조직이 한 번에 여러 가지 소재를 활용한 스미싱 공격을 시도한다는 설명이다.

이 앱을 설치하게 되면 안드로이드 OS 기반 스마트폰에 ‘구글플레이’ 아이콘으로 위장된 앱이 나타난다. 앱은 사용자 몰래 백그라운드로 동작한다. 감염된 스마트폰에 수신되는 SMS를 탈취하고, 공격자에게 전달한다. 당장 이 앱이 SMS 정보 탈취에 멈추고 있지만, 공격자가 수집한 SMS 정보로 2차 공격이 발생할 수 있다.

문종현 ESRC 센터장은 “택배 메시지와 코로나19, 예비군 등 사회적·개인적 관심을 끌 수 있는 소재를 활용한 스미싱 공격 피해를 예방하는 가장 최선의 방법은 개인의 보안 수칙 준수”라고 말했다. 신뢰할 수 있는 모바일 백신 설치와 공식 앱 마켓에서 앱을 내려받는 등 스스로 할 수 있는 보안 수칙 만으로도 스미싱 피해를 막을 수 있다는 설명이다.