본문 바로가기 주메뉴 바로가기

사이버홍보실

최신뉴스

“코로나19 관련 이메일 1% 악성 의심”

admin 2020-05-29 조회수 770
 악성메일 90%, 마스크 피싱 사이트 유도…악성코드 83%, 정보탈취 목적
정부 후원 받는 APT 그룹도 활동…언택트 환경 위한 보안 체계 필요
[데이터넷] 코로나19 관련 이메일의 1%가 악성으로 의심되며, 그 중 90%는 마스크 판매 관련 피싱 사이트로 접속을 유도하는 것으로 나타났다. 그 외 세계보건기구(WHO) 사칭 가상통화 기부 요청 등 금융사기, 첨부파일을 이용하는 악성코드 유포 공격 등으로 확인됐다.

금융보안원이 29일 공개한 ‘코로나19 금융부문 사이버 위협동향보고서’에 따르면 2월부터 4월까지 금융보안원 금융보안관제센터에서 탐지한 코로나19 관련 이메일은 680만여건에 이르며, 그 중 7만3000건이 악성메일로 의심되는 것이었다.

원격근무 늘어나며 보안 위협 높아져

전 세계적으로 코로나19 이슈를 이용한 위협은 특정 위협그룹, 산업 등을 가리지 않고 확산되고 있다. 코로나19 확산세가 크게 높아진 3월부터 코로나19 관련 침해위협이 대폭 증가했으나 악성메일 발송기법이나 첨부된 악성코드 등은 기존에 비해 큰 변화는 없어 기존 이메일 보안 체계로도 대응할 수 있었다.

그러나 금융보안원은 효과적인 대응을 위해 이메일 보안설정을 강화할 필요가 있다고 강조했다. 코로나19로 화상회의, 원격근무 등 근무환경이 변화함에 따라 정보보호 측면에서도 많은 위험이 있기에 주의가 필요하다고 조언했다.

공격은 주로 이메일과 SMS를 통한 피싱 방식으로 진행되며, ▲악성코드 유포 ▲피싱사이트 유도 ▲금융 사기 ▲악성앱 유포를 통한 모바일 공격으로 나누니다. 주요 공격 목적은 정보탈취로 코로나19 관련 악성코드의 83%가 이러한 유형의 공격이다.

피싱사이트를 통해 정보유출을 유도하는 유형은 정부 세금 감면, 의료기관·쇼핑몰의 마스크 판매 등을 미끼로 사용자에게 스스로 개인정보나 결제정보를 입력하도록 유도하는 유형도 있다. 정부·의료기관을 사칭해 기부를 요청하는 방법도 등장했다.

정부 주도 해킹 그룹 활동 ‘활발’

세계적인 해킹그룹의 코로나19 악용 공격도 이어졌다. 한국수력원자력 해킹사건의 주요 세력으로 알려진 ‘킴수키’는 2월 국내 기관을 대상으로 ‘코로나 바이러스 관련 이사장님 지시사항’이라는 제목의 악성메일로 공격을 진행했다. 이들은 동일한 디자인과 호스팅 서버를 이용해 미 국무부를 사칭한 바 있다.

중국 정부의 지원을 받고 있는 것으로 추정되는 톤토는 특정 종교 신도 위주로 코로나19 감염자가 크게 증가해 해당 종교에 대한 사회적 관심이 높아진 것을 노렸다. 이들은 RLO(Right to Left Override) 기법으로 파일 확장자를 숨기고, 해당 종교 관련 파일로 위장한 악성코드를 유포했다. RLO는 오른쪽에서 왼쪽으로 글씨가 표시되게 변경하는 특수문자로, 이 문자를 이용해 확장자를 반대 방향으로 표시해 원래 확장자를 위장할 수 있다.

북한 관련 주제로 스피어피싱 공격을 수행해 온 코니 그룹 역시 마스크 권고 문서로 위장한 악성코드를 워드 파일의 콘텐츠 사용 버튼을 누르면 악성 매크로가 동작하면서 추가 악성코드를 실행시키고, 마스크는 코로나19 감염 의심자를 돌보는 사람만 착용을 권장한다는 내용의 문서를 화면에 생성한다. 기존의 코니 악성코드와 암호화 및 추가 악성코드 설치 방식이 동일하며, FTP를 통해 시스템 정보를 탈취한다

스마트폰을 타깃으로 하는 위협은 보통 스미싱 메시지를 발송해 악성앱을 설치하도록 유도하는데, 모바일 환경에서도 마찬가지로 코로나19 이슈를 이용하는 사례가 확인되고 있다.

물류회사를 사칭해 악성앱 설치를 유도하던 공격그룹 마카오는코로나19 확진자 동선 관련 내용으로 스미싱 공격을 시도했다. 그러나 이슈를 급하게 반영하면서 기존 물류회사 피싱사이트와 악성앱은 그대로 두고 문자메시지 내용만 변경하는 실수를 저지르기도 했다.

금융회사를 사칭해 보이스피싱 공격을 수행하던 공격자들이 코로나19 테마로 국민연금공단을 사칭하는 보이스피싱 악성앱을 제작한 것을 발견했다. 이 앱은 기존의 보이스피싱 앱과 동일하게 기기정보 수집, 전화 가로채기 등의 기능을 갖고 있다.

금융사, 악성메일 효과적으로 대응

금융보안원은 금융회사의 심각한 위협 사례는 없는 것으로 파악하고 있다고 밝혔다. 금융회사가 스팸 메일 차단 등 이메일 보안 체계 및 망분리 환경 구축 등을 통해 악성메일에 효과적으로 대응하고 있기 때문이라고 설명했다.

또한 금융보안원에서 매년 최신의 APT 공격 대응을 포함한 ‘금융권 사이버 침해사고 대응훈련’을 통해 금융회사 임직원의 사이버 공격 대응 역량을 강화하고 금융회사의 침해사고 대응체계를 지속적으로 개선해 온 효과도 있다고 설명했다.

김영기 금융보안원장은 “최근 주요 APT공격 그룹들이 전 세계적으로 유행하는 코로나19를 사이버 공격에 이용하는 등 신종 사회공학적 기법이 수반되는 만큼 이번 보고서에서 분석한 사이버위협 및 탐지동향을 금융회사와 공유함으로써, 금융권이 코로나 19를 악용한 사이버 위협에 선제적인 대응을 할 수 있도록 지원할 것”이라고 말했다.

김 원장은 “코로나19로 촉발한 비대면 환경 확산은 앞으로 더욱 가속화될 것이며, 이로 인한 사이버 위협도 높아질 것”이라며 “코로나19 뿐만 아니라 새로운 사이버 위협에 대해서도 금융권이 선제적으로 대응하여 피해를 예방할 수 있도록 사이버 위협 탐지 및 분석·정보 공유체계를 강화하겠다”고 밝혔다.

Tag#악성메일#APT 공격#금융보안원#코로나19
저작권자 © 데이터넷 무단전재 및 재배포 금지

출처 : 데이터넷(http://www.datanet.co.kr)