다운로더·백도어·인포스틸러 악성코드 가장 많이 유포돼
[데이터넷] 공격의 시작이 된 ‘피싱 메일’에 가장 많이 사용되는 문구는 ‘주문·배송’, ‘결제∙구매’, ‘공지·알림’인 것으로 나타났다.
이는 안랩의 ‘2023년 상반기(1월~6월) 보안위협 동향’ 보고서에 따르면 ‘Shipping(배송)’, ‘Order(주문)’, Delivery(배달)' 등 ‘주문∙배송’과 관련한 키워드가 전체의 29.2%로 가장 높은 비중을 차지했다.
공격자들은 사용자를 더욱 교묘하게 속이기 위해 실제 물류업체 명을 해당 키워드에 붙여서 사용했다. 14.9%로 2위를 기록한 ‘결제·구매’ 카테고리의 키워드는 ‘Payment(지불)’, ‘Receipt(영수증)’, ‘invoice(청구서)’ 등이다.
이 카테고리의 키워드는 금전과 연관되어 사용자가 민감하게 반응할 수 있으며, 업무 관련성도 높은 단어이기 때문에 공격자가 자주 사용하는 것으로 추정된다. 긴급한 내용처럼 위장해 사용자의 불안한 심리를 자극하는 ‘Urgent(긴급)’, ‘Alert(경고), ‘Notice(공지)’ 등 ‘공지∙알림’성 키워드는 9.8%를 기록하며 뒤를 이었다.
이 밖에도 공격자들은 주요 키워드 앞머리에 ‘re(회신)’나 ‘fw(fwd)(전달)’ 등(*)을 붙여 사용자들이 이미 기존에 주고받았던 메일인 것처럼 착각하도록 유도하기도 했다.
추가 공격 위한 악성코드 주로 발견돼
상반기 가장 많이 발견된 악성코드는 추가 공격 수행을 위해 주로 사용하는 악성코드인 ‘다운로더(36.1%)’와 '백도어(34.9%)’였으며, 악성코드인 ‘인포스틸러(26.6%)’가 그 뒤를 이어 주목된다. 인포스틸러는 계정정보, 가상화폐 지갑주소, 문서 파일 등 다양한 사용자 정보를 탈취하는 악성코드로, 추가 공격 위협이 높은 것이다.
‘다운로더’와 ‘백도어’는 공격자가 추가 공격을 진행하기 위해 주로 사용하는 악성코드다. 한 번 감염되면 정보탈취나 랜섬웨어 등 대형 피해를 발생시킬 수 있기 때문에 보안 관리자들은 주기적으로 조직 내 시스템과 자산현황을 점검해야 한다.
이 보고서는 안랩시큐리티대응센터(ASEC)가 수집한 악성코드를 악성코드 동적분석 시스템 ‘래피트(RAPIT)’를 이용해 분석한 악성코드 종류별 통계, 래피트와 메일 허니팟을 이용해 수집·분석한 피싱 메일 키워드 통계, 안랩 침해대응 팀이 탐지·차단한 공격 시도를 분석한 업종별 공격탐지 통계로 구성됐다.
업종별 공격 사례를 보면, 모바일·PC 게임 개발 기업·퍼블리셔(유통사) 등 게임개발(17.7%) 분야가 가장 많이 공격을 당했으며, 방송사·스트리밍 서비스 기업, 컨텐츠 제공사(CP) 등 방송(15.1%) 분야, 학교·온라인 강의 및 교육 컨텐츠 플랫폼 등 교육(8.9%)분야가 그 뒤를 이었다.
전성학 안랩 연구소장은 “상반기 위협 트렌드를 살펴보면 공격자들이 ‘공격의 효율성’을 높이기 위해 다양한 공격 수법을 사용하고 있는 것을 알 수 있다”며 “고도화되는 위협에 대응하기 위해서 개인은 기본 보안수칙을 생활 속에서 실천해야 하고, 조직 차원에서는 솔루션부터 위협정보 확보, 구성원 교육까지 통합적 관점에서 보안 체계를 강화해 나가야 한다”고 말했다.
