사회 혼란 일으키려 가짜뉴스·여론전 펼쳐
[데이터넷] 2021년이 저물어가고 있다. 올 한해도 많은 사이버 보안사고가 발생했다. 올해 전 사회에 보안 경고를 울린 ▲Log4j 취약점 ▲솔라윈즈·카세야 공급망 공격 ▲OT 타깃 랜섬웨어 ▲다크웹 개인정보 공개 ▲사회 이슈 악용 공격 등을 짚어본다.<편집자>
올해 전 세계 최대 화제작 넷플릭스 드라마 ‘오징어게임’을 패러디한 광고나 인용문이 곳곳에서 사용되고 있다. 공격자도 예외는 아니다. 오징어게임을 무료로 볼 수 있는 다운로드 링크를 제공한다며 악성코드를 유포하는 시도가 수 차례 발견됐다.
유명 드라마, 음악, 상용 프로그램 등을 무료로 공유한다고 사용자를 유인해 악성코드를 유포하는 고전적인 공격은 2021년에도 성행했다. 공격자들은 사회적으로 이슈가 되는 주제를 인용해 사용자를 교묘하게 속인다. 유행하는 TV 프로그램, 정치·연예 관련 뉴스로 위장한 악성링크를 보내 클릭 할 수 밖에 없게 만든다.
포털사이트 계정 탈취 안내를 위장해 사용자의 개인정보 입력을 유도하는 공격도 성행한다. 비정상적인 로그인 시도가 있었다고 안내하며 개인정보를 변경하도록 해 입력값을 탈취하는 수법이다. 이렇게 탈취한 개인정보를 이용해 개인의 사생활을 염탐하거나 추가 정보를 탈취하고 금전적인 피해를 입히기도 하지만, 개인정보와 동일하거나 유사하게 사용하는 업무계정을 탈취하는데에도 사용한다.
2022년 베이징 동계올림픽과 카타르 월드컵, 우리나라 대통령선거와 지방선거가 있다. 정치적 이벤트와 세계 스포츠 행사는 공격자들이 활개치기 좋은 이슈가 된다. 관련 뉴스와 소식, SNS 여론을 빙자해 악성코드 유포, 랜섬웨어, 개인정보 탈취 공격이 이어지며, 심각할 경우 국제 행사가 중단되거나 정치적으로 잘못된 영향을 받아 사회에 심각한 혼란이 발생할 수도 있다.
사회적 이슈를 악용하는 공격에 당하지 않기 위해서는 자극적인 뉴스에 쉽게 흔들리지 말고, 여러 채널을 통해 객관적인 정보를 모으도록 노력하는 것이 필요하다. 신뢰할 수 없는 사이트에 방문하지 말고, 메일 수신자를 잘 살펴봐 정상 수신자를 위장한 공격자의 메일을 열어보지 않도록 하며, 메일 본문 내 메일 클릭은 신중히 하고, 첨부파일 열람도 주의해야 한다. SNS·인터넷 등에 개인정보를 공개하거나 개인정보를 유추할 수 있는 게시글은 공개하지 않도록 하고, 개인정보 입력과 개인정보 제공 동의 시 주의해야 한다.
사용자의 주의만으로 이러한 공격을 차단할 수 없으므로, 기업은 메일 보안, 웹사이트 보안, 악성 웹 접근 차단 등의 시스템을 갖추도록 해야 한다.
