“돈 보내지 않으면 가족까지 코로나19 감염시키겠다” 협박 메일 방송하기도
코로나 테마 피싱 익스플로잇 200달러·코드서명 인증서 700달러 판매
[데이터넷] 코로나19로 세계 경제가 큰 폭으로 위축될 뿐 아니라 개인의 경제상황도 위기에 몰리고 있다. 이 같은 경제위기와 감염병 확산 우려는 사이버 범죄자들도 겪고 있는 일이다. 트렌드마이크로의 ‘악성 캠페인에 사용되는 COVID-19’ 보고서에 따르면 지하 포럼에 참가하는 범죄자들이 수입이 줄어들고 있다고 불평하고 있으며, 세계 주가가 급락하고 있으니 비트코인에 투자하기 좋은 시기인지 논의하고 있다. 또한 그들도 바이러스 감염에 대한 우려를 토로하는 것이 발견됐다.
그러면서도 공격자들은 코로나19 이슈를 악용한 공격을 이어가고 있다. 공격자는 ‘당신의 은밀한 사생활을 알고 있다. 500달러를 송금하지 않으면 피해자와 가족이 코로나19에 감염되도록 하겠다’는 협박메일을 보내는 공격 캠페인이 발견하기도 했다. 공격자는 피해자의 암호, 위치, 기타 개인활동과 관련된 세부 정보를 알고 있으며, 24시간 이내에 결제를 하지 않으면 사생활 데이터를 공개하겠다고 협박했다.
이처럼 지하 포럼에서 바이러스와 연결된 피싱, 멀웨어, 익스플로잇 등을 판매하고 있는데, 코로나 테마 피싱 익스플로잇은 200달러에 판매되며, 코드서명 인증서는 추가로 700달러를 요구한다. 전 세계에서 수요가 극히 부족한 마스크와 인공호흡기, 온도계, 환자 모니터 등은 수많은 지하 포럼에서 판매되고 있다.
코로나19 이슈 악용 공격 성행
최근 가장 많이 발견되는 공격 유형은 정부 공식 기관을 사칭해 ‘코로나 바이러스 최신 업데이트’, ‘코로나19로 인한 택배 배송 지연 안내’ 등의 키워드를 담은 이메일을 보내는 것이다. 실제 메일 내용도 코로나19 관련 정보가 담겨있으며, 메일에 첨부된 파일을 열면 감염된다.
재택근무·온라인 수업 환경의 최대 위협이 되고 있다. 협업 도구와 파일 공유 시스템을 위장한 공격이 수시로 발견된다. 비즈니스 이메일 침해(BEC) 사기도 증가하고 있으며, 기부·원조를 요청하는 위장메일도 발견됐다. 또한 ‘코로나 바이러스 인스톨러(Coronavirus Installer)’라는 랜섬웨어가 마스터 부트 레코드(MBR)를 파괴해 컴퓨터를 부팅할 수 없게 만들고 있다.
코로나 관련 이슈로 위장한 피싱사이트도 심각한 위협이다. WHO, 질병관리본부 등 공식 기관을 위장하는 피싱사이트가 수시로 발견되고 있다. ‘corona-antivirus [.] com’이라는 사이트에서는 하버드 대학 과학자의 연구결과라는 ‘코로나 안티바이러스’ 앱을 소개하는데, 앱을 설치하면 ‘블랙넷 RAT(BlackNET RAT)’에 감염되고 이 기기는 봇넷에 추가된다. 봇넷은 디도스 공격에 이용된다. 또한 이 앱은 향후 백신 판매 웹사이트로 위장해 사기행위를 벌일 것으로 보인다.
정부 후원 공격자들의 활동도 활발하게 전개되고 있다. 파키스탄 군과 연관있는 것으로 보이는 ‘사이드윈더(SideWinder)’가 코로나 바이러스를 이용해 APT 공격을 벌이고 있는 것도 발견됐다. 이들은 구글 플레이에 악성앱을 등록해 사이버 스파이 활동을 벌이고 있다.
1분기 스팸위협 220배 증가
한편 트렌드마이크로는 위협 인텔리전스 서비스 ‘스마트 프로텍션 네트워크(SPN)’이 1분기 동안 탐지한 악성메일이 90만건이 넘었으며, 3월 한달간 악성 URL 클릭 횟수가 전월 대비 260% 증가했고, 스팸 위협은 220배 증가했다고 밝혔다.
김진광 트렌드마이크로 지사장은 “코로나19 팬데믹 상황에서 장기간 원격근무를 고려하는 기업이 늘고 있는 가운데, 취약한 보안 환경을 악용하는 엔드포인트 위협 사례 또한 함께 증가하고 있다”며 “기업은 임직원들의 보안 인식 제고와 트렌드마이크로의 엔드포인트 보안 솔루션 도입을 통해 예상치 못한 손실을 방지해 비즈니스 연속성을 확보하고 효과적인 원격근무 환경을 마련할 수 있다”고 말했다.
트렌드마이크로는 급증하는 코로나19 관련 위협에 대응하기 위해 ▲전방위적인 다계층 보안 솔루션을 도입하여 변화하는 보안 위협으로부터 보호 ▲전시스템과 소프트웨어 대상 업데이트 및 패치를 통해 새로운 취약점으로부터 보호 ▲전기업 서버 접속 시 VPN을 통해 보안 유지 ▲엔드포인트 디바이스 비밀번호 변경 등 정기적인 백업이 필요하다고 조언했다.
이어 트렌드마이크로는 ‘스마트 프로텍션 스위트’, ‘이메일 시큐리티’ 등 엔드포인트 보안 솔루션으로 가정에서 사용하는 개인 디바이스의 보안 취약성을 보완할 수 있다고 강조했다.
