IT DONGA

[뉴스줌인] 코로나19로 위장한 각종 해킹 공격 증가, '주의 필요'

권명관

[IT동아 권명관 기자] IT동아 편집부는 하루에 수십 건 이상의 보도자료를 받습니다. 대부분 새로운 제품, 혹은 서비스 출시 관련 소식인데요. 이에 IT동아는 독자들에게 도움될 수 있는 자료를 추려서 자세하게 전달해드리고자 합니다. 다만, 기업에서 보내준 보도자료 원문에는 전문 용어, 혹은 해당기업에서만 사용하는 독자적인 용어가 다수 포함되어 있습니다. 이런 용어 또는 IT 이슈에 익숙하지 않은 독자 여러분을 위해 보도자료를 해설하는 기획기사 '뉴스 줌인'을 전달합니다.

출처: 이스트시큐리티
제목: 알약, 2020년 1분기 랜섬웨어 공격 총 18만여건 차단

원문 요약: 이스트시큐리티(대표 정상원)가 자사의 백신 프로그램 '알약'을 통해, 2020년 1분기에만 총 18만 5,105건 랜섬웨어 공격을 차단했다. 이를 하루 기준으로 환산하면 일평균 약 2,057건에 달한다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 '랜섬웨어 행위기반 사전 차단 기능'을 통해 차단한 건수를 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격 수는 더욱 많을 것으로 예상한다.

출처: 이스트소프트
< 출처: 이스트소프트 >

해설: 랜섬웨어는 몸값(랜섬)과 악성코드(멀웨어)의 합성어로, PC나 스마트폰 속 특정 파일을 암호화한 후, 해당 파일을 이용하고 싶으면 비용을 지불하라는 형태의 악성코드다.

최초의 랜섬웨어가 무엇인지에 대해서는 이견이 조금 있지만, 대부분 진화생물학자 조셉 포프 박사(Dr. Joseph Popp)가 개발한 'AIDS.trojan'을 최초의 랜섬웨어라고 판단한다. AIDS.trojan은 도스의 모든 파일명을 암호화해 시스템을 사용할 수 없게 만든 후 189달러를 지불하면 복구할 수 있는키(복호화키)를 제공하겠다는 메시지를 띄웠다. 최근 발생하는 랜섬웨어와 매우 유사해 랜섬웨어의 시초라 부르기에 부족하지 않다. AIDS.trojan의 이름에 후천성면역결핍증후군(AIDS)이 들어가 있는 이유가 재미있다. 포프 박사가 복호화를 위해 받은 비용을 AIDS 연구에 기부하겠다고 밝혔기 때문. 물론 제 아무리 동기가 좋아도 수단이 불법이서는 곤란하다. 결과적으로 포프 박사는 협박 혐의로 철창신세를 지게 됐다.

2016년은 '랜섬웨어의 해'라고 불릴 정도로 기승을 부렸다. 랜섬웨어로 입은 피해를 복구하기 위해 해외에서 10억 달러(약 1조 1,000억 원), 국내에서 100억 원 정도의 돈이 해커들에게 흘러 들어간 것으로 조사된 바 있다.

출처: 게티이미지뱅크
< 출처: 게티이미지뱅크 >

원문 요약: 이스트시큐리티 ESRC는 1분기 주요 랜섬웨어 동향으로, '코로나19 바이러스' 키워드를 활용한 랜섬웨어 급증과 기존 '소디노키비(Sodinokibi)'와 '넴티(Nemty)' 랜섬웨어의 건재를 꼽았다. 모니터링 분석 결과에 따르면, 기존 랜섬웨어 공격자들이 랜섬웨어 유포 시 활용했던 다양한 소재들이 코로나19 키워드에 다수 집중된 모습이 다. 특히, 이번 1분기에 유포된 랜섬웨어 중 기존 랜섬웨어의 변종 형태로, 이름을 '코로나 바이러스'로 변경하거나 랜섬노트 내에 '코로나' 키워드를 언급하는 케이스들이 다수 발견됐다.

해설: 코로나19로 인해 재택근무를 시행하는 국내외 기업이 늘어나면서, PC와 스마트폰으로 업무를 처리하는 횟수도 늘어나고 있다. 즉, 사람들의 주된 관심사인 코로나19로 관심을 끌고, 이를 활용한 랜섬웨어 공격이 크게 늘어나고 있는 것. 원격 상황에서 기업 내부망으로 접속하는 재택근무용 단말기(PC, 스마트폰 등)에 대한 운영체제(OS) 및 소프트웨어(SW)의 보안 업데이트 점검 등을 미리 실행해야 공격에 대비할 수 있다.

코로나19를 활용한 해킹 공격은 랜섬웨어에만 그치지 않는다. '코로나19 실시간 현황' 조회 프로그램으로 위장한 악성코드도 나타났다. 이 악성코드는 '코로나 국내 현황', '국내 코로나 실시간 현황' 등의 파일명을 사용하는 실행 프로그램(EXE) 형태다. 파일을 실행하면 '실시간 코로나19 현황'이라는 제목의 팝업창이 나타나고, 실제 코로나19 감염 현황을 보여주는 것처럼 확진환자, 격리해제(완치), 사망자, 검사중 등 4가지 항목과 그에 따른 숫자 정보가 나타난다.

출처: 이스트소프트
< 출처: 이스트소프트 >

이 과정에서 사용자 몰래 PC 임시 폴더에 또 다른 악성 코드를 자동으로 설치한다. 감염되면 사용자 PC는 '원격제어', '키로깅', '화면 캡처', '추가 악성코드 설치', '정보 탈취' 등 다양한 공격에 노출될 수 있으니 유의해야만 한다.

악성 이메일 공격도 등장했다. 해당 공격은 김수키(Kimsuky) 조직 소행으로 추정되는데, 김수키 조직은 특정 정부의 후원을 받는 것으로 알려진 대표적인 사이버 공격 집단이다. '문정인 특보 사칭', '대북 국책연구기관 사칭 스피어피싱' 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 지속적으로 반복하고 있다.

코로나19 바이러스 관련 이사장님 지시사항으로 사칭한 악성 이메일, 출처: 이스트소프트
< 코로나19 바이러스 관련 이사장님 지시사항으로 사칭한 악성 이메일, 출처: 이스트소프트 >

악성 이메일은 한글로 작성되어 있으며, 수신자가 의심 없이 메일을 열어 보도록 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 파악된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석 결과, 이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포된 것으로 확인되며, 코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명 '코로나바이러스대응.doc'인 악성 MS워드 문서가 첨부되어 있다. 수신자가 이 악성 문서 파일을 열람하면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 내려받는 방식이다.

악성문서 파일을 열면 보여지는 '코로나바이러스 감염증-19 대책 회의' 문서, 출처: 이스트소프트
< 악성문서 파일을 열면 보여지는 '코로나바이러스 감염증-19 대책 회의' 문서, 출처: 이스트소프트 >

중요: 랜섬웨어, 악성코드, 악성 이메일 공격 등 불특정 다수를 향한 해킹 공격은 항상 조심해야 한다. 특히, 많은 사람이 관심을 가질 수밖에 없는 내용으로 위장해 파일을 설치하거나 열람할 수 있도록 유도, 사용자가 감염된 사실조차 모르도록 교묘하게 위장한다. 주의가 필요하고, 한번 더 의심하는 자세를 잊지 말아야 한다.

글 / IT동아 권명관(tornadosn@itdonga.com)

이전 다음