[데이터넷] WHO가 ‘코로나19’에 대한 ‘팬데믹(pandemic)’을 선언했다. 사이버 세상에서도 ‘코로나19’ 관련 내용으로 위장한 각종 공격이 무차별적으로 발생하는 ‘사이버 팬데믹’ 상황이 발생하고 있다. 우리나라에서는 코로나19 관련 최신 뉴스와 정보, 마스크 판매 등을 위장한 스피어피싱, 스미싱, 보이스피싱이 성행하고 있으며, 코로나19 확산 방지를 위해 재택근무에 돌입한 기업과 임직원을 대상으로 한 무차별적인 공격이 발생하고 있다.

다른 국가에서도 이러한 공격이 심각하게 발생하고 있다. 파이어아이는 인텔리전스 분석팀의 벤 리드(Ben Read) 시니어 매니저의 사이버 첩보 활동 정보를 발표하며 각별한 주의를 요구했다.

파이어아이가 발견한 위협 중 중국 배후의 공격 조직 TEMP.Hex가 베트남·필리핀·대만 소재 기업을 대상으로 한 공격이 대표적이다. 2월 말부터 3월 초 까지 발견된 이 공겨은 코로나19 관련 정치인이 발표한 성명서, 안전수칙 등을 활용해 피싱메시지를 구성했다. TEMP.Hex는 2010년부터 동아시아 지역을 공격 대상으로 활동해왔다.

다른 공격그룹의 활동으로, 몽골 정부와 광산업 등을 대상으로 코로나19 감염 공식 통계로 위장한 악성문서가 배포된 것이 있다. 이들은 지하시장에서 접할 수 있는 백도어 계열 악성코드인 포이즌 아이비(Poison Ivy)를 활용했다.

러시아 배후의 TEMP.Armageddon은 우크라이나 조직을 대상으로 코로나19 관련 공문서를 위조한 스피어피싱 활동을 벌였다. 이들은 대대적으로 우크라이나를 표적으로 공격활동을 이어오고 있다.

북한 배후의 공격그룹은 우리나라 NGO를 대상으로 ‘코로나19 대응’이라는 한글문서를 이용해 스피어피싱 활동을 벌이고 있다. 파이어아이는 현재 이 문서를 분석하고 있다.

전수홍 파이어아이코리아 지사장은 “파이어아이는 코로나19를 앞세워 금전적 이득을 취하고자 하는 활동도 추적하고 있다. 금전 탈취를 목표로 코로나19를 악용한 피싱 활동 사례가 지난 1월부터 매달 급격히 증가하고 있다. 이들은 크리덴셜 피싱, 트릭봇 같은 멀웨어 배포, TEMP.Warlock 캠페인 등으로 나타나고 있다. 전 세계가 코로나19에 큰 관심을 기울이고 있는 가운데, 이를 기회로 삼아 금전을 노리는 사이버 활동이 지속될 것으로 내다보고 있다”고 밝혔다.

김선애 기자 다른기사 보기