[데이터넷] 보안 기업 채용 담당자에게 이력서로 위장한 랜섬웨어 악성코드를 메일로 보낸 공격 사례가 공개됐다.

로그프레소는 12일 배포한 ‘사이버 위협 인텔리전스 월간 리포트 1월호’에서 지난달 수신한 랜섬웨어 공격 메일을 공개하고 상세 분석 결과를 소개했다. 실제로 로그프레소는 지난해 여러 채널을 통해 채용 공고를 낸 바 있다.

로그프레소에 이력서 위장 랜섬웨어를 보낸 공격자는 보안 탐지를 우회할 수 있는 다양한 기술을 사용했다. 악성파일은 일반적인 입사 지원 메일과 유사하며, 암호화된 압축파일을 첨부해 보안 솔루션에 탐지되지 않도록 했다. 정상 메일처럼 보이도록 지메일 서비스를 이용했으며, 메일 본문에 압축파일 해제를 위한 비밀번호를 적었다.

압축파일을 풀면 2개의 파일이 열리는데, 하나는 마이크로소프트 워드 파일로 작성된 입사지원서로 위장했지만 실제로는 exe 확장자인 악성코드 실행파일이다. 다른 하나는 jpg 확장자의 신분증 사본 이미지로 보이지만, 실제로는 악성코드와 무관한 정상 라이브러리 파일이다. 이 파일이 평판을 조회하면 랜섬웨어 그룹 락비트(Lockbit)와 연관성이 있는 것으로 나타난다.

로그프레소는 이력서와 같은 정상적인 문서로 위장한 공격을 막기 위해 반드시 출처가 불분명한 첨부파일은 함부로 다운로드하거나 실행하지 말 것을 당부했다. 특히 이번 사례처럼 확장자를 속여 유입되는 악성코드가 만힉 때문에 반드시 윈도우 탐색기에서 파일 확장자가 보이도록 설정한 후 열어보고, 실행 전에도 반드시 확장자를 확인할 것을 당부했다.

건강검진·연말정산 위장 피싱 시도 증가

이 보고서에서는 연말연시 특수성을 이용한 유사 도메인 활용 공격에 대해 상세히 분석했다. 회계연도가 바뀌는 11월부터 2월 사이는 건강검진, 연말정산 등 다양한 공지가 집중 발송된다. 공격자는 이를 이용해 국세청, 국민연금공단, 국민건강보험공단 등 공공기관을 사칭해 피싱 공격을 벌였다. 이러한 악성 도메인은 보안 전문가도 한 눈에 구분하기 어려울 정도로 정상 도메인과 유사하다.

로그프레소가 12월 한 달간 수집한 피싱 도메인 주소 7118건을 분석한 결과, 유사 도메인이 가장 많이 발견된 기업은 네이버로 전체 피싱 도메인 중 3350건에 이른다. 그 다음은 삼성, MBC, 국세청, KBS의 순이었다.

쇼핑, 여행 등 이벤트가 많은 시기를 악용하는 악성봇 활동이 11월보다 무려 31% 증가했다. 특히 크리스마스 주간에 악성봇 감염이 폭발적으로 늘어 11월보다 48% 증가한 수치를 보였다. 우리나라에서 악성봇 감염으로 인한 정보유출 사례는 400만건에 이르는데, 이는 5000만 인구의 8%에 해당하는 국민이 영향을 받았을 가능성이 있다는 설명이다.

악성봇 감염자가 접속한 사이트 중 국내에서는 네이버, 글로벌은 로블록스가 가장 많았으며, 사용자 컴퓨터의 봇 감염으로 유출된 계정 정보는 구글, 페이스북이 가장 많았다.

12월 탐지한 위협 IP 주소 역시 피싱과 관련된 것이 가장 많았으며, 전체 81%가 피싱 사이트와 연결됐다. 다음은 코발트 스트라이크, VNC 로그인 시도의 순으로 나타났다. 위협 IP는 중국 1만6420건, 미국 1만5671건, 한국 4217건의 순이었다.

장상근 로그프레소 연구소장은 “새롭게 해가 바뀌는 때에 특정 공공기관이나 기업, 언론사의 정상 도메인을 가장하여 개인정보를 탈취하는 악성코드 ‘스틸러 봇넷(Stealer Botnet)’ 과 피싱 공격이 가장 빈번하게 발생한다”며 “악성 유사 도메인 관련 IoC 및 상세 분석 정보를 참고해 피해가 발생하지 않도록 대비해야 할 것”이라고 전했다.

생성형 AI, 공격자 활동 전 세계로 넓혀

로그프레소는 누적 침해 지표(IoC) 2억건 이상, 프라이버시 인텔리전스(PI) 420억건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적하고 있다. 이 정보를 바탕으로 올해 발생할 사이버 위협에 대해서도 안내하면서 기업·기관과 사용자의 각별한 주의를 당부했다.

생성형 AI 이용 피싱: 올해 특별히 주의해야 할 위협은 생성형 AI를 이용하는 고도화되고 글로벌화된 피싱 공격이다. 우리나라 타깃 피싱 조직은 한국어 사용자가 많은 중국을 기반으로 했으나, 생성형AI를 이용해 여러 국가 언어를 이용할 수 있게 되자 아프리카, 유럽, 남미 등의 조직이 피싱 공격을 시도하게 됐다.

앞으로는 목소리 데이터만으로도 복제할 수 있어 유명인의 목소리를 사칭한 보이스피싱도 나타날 것으로 보인다. 특히 우리나라 국회의원 선거, 미국 상·하 의원 선거와 대통령 선거를 악용한 피싱 공격이 늘어날 것으로 보인다.

멀티 플랫폼으로 확장하는 랜섬웨어: 기존 랜섬웨어는 사용자가 많은 윈도우 플랫폼을 주로 노렸지만, 이제는 더 많은 수익을 얻기 위해 맥OS, 스마트폰 등 비 윈도우 플랫폼을 공격하고 있다. 또 상대적으로 보안에 취약한 중소기업을 공격한 후 협상을 유리하게 이끌기 위해 데이터의 다크웹 공개 혹은 파일 파괴 등의 협박을 할 것으로 보인다.

공급망 공격: 소프트웨어 공급망 취약점을 이용하는 공격이 빈번하게 발생할 것으로 보인다. 소프트웨어 개발·배포 과정에서 악의적으로 소스코드를 변경하거나 빌드·업데이트 서버에 악성코드를 삽입하고, 코드서명 인증서를 탈취해 악성코드가 포함된 업데이트 파일에 서명하게 하는 등의 공격이 전개된다. 오픈소스 라이브러리로 인한 공급망 위협 역시 한층 발전할 것으로 보이며, CI/CD취야점을 악용하는 등의 공격이 이어질 것으로 예상된다.

크리덴셜 스터핑: 기존의 공격 방식은 공개된 취약점 익스플로잇 PoC 코드를 참고했지만, 이제는 다크웹 등에서 유통되는 신뢰 높은 크리덴셜을 이용한 크리덴셜 스터핑을 이용한다. 정상 사용자 계정으로 인증받으며, 정상 권한 내에서, 시스템의 정상적인 기능을 이용해 정보를 수집하고 악의적인 행위를 하기 때문에 탐지가 어렵다. 일반 사용자의 계정을 탈취하면 부정결제, 포인트 탈취 등 금전적 피해를 입힌다.

산업보안위협 증가: 보안 취약점 위험도 평가에 사요하는 CVSS가 v4로 업그레이드되면서 위험도 평가 방식에 변화가 생겼는데, 그 중 하나가 OT/ICS와 IoT 취약점 평가기준 항목이 추가된 것이다. OT 운영조직은 이를 이용해 취약점을 빠르게 식별하고 대응할 수 있지만, 공격자는 패치에 소극적인 시스템을 노려 더 효과적으로 공격을 진행할 것으로 보인다. 특히 IP 카메라, 공유기, 네트워크 장비 등은 외부에 노출되기 쉽기 때문에 즉각적인 조치가 필요하다.

한편 로그프레소의 월간 리포트는 기업이 접하기 어려운 위협 정보를 공유하고, 신속하게 대응할 수 있는 방안을 안내하기 위해 배포하는 것으로, 홈페이지에서 다운로드 할 수 있고, 구독을 신청하면 매달 초 메일로 수신할 수 있다.