IT 역량 취약, 속수무책···
정보 위장 스미싱, 스피어 피싱, 랜섬웨어, 몸캠피싱 등
[중소기업투데이 이종선 기자] 코로나19 확산과 팬데믹의 와중에서 질병 정보로 위장한 사이버 공격이 기승을 부리고 있다. 특히 별도의 IT부서를 두고 있거나 디지털 트랜스포메이션이 완비된 대기업과는 달리 중소기업들은 이런 사이버 공격에 취약할 수 밖에 없다.
최근 안랩 대응팀이 낸 리포트에 따르면 코로나19 관련 정보를 담고 있는 것으로 위장한 이메일 악성코드는, 이메일 발신자 주소를 세계보건기구(WHO) 혹은 미국 질병통제예방센터(CDC)를 사칭한 것으로 알려졌다. 이는 WHO의 메일을 정확히 아는 사람이 많지 않은 현실을 교묘히 이용한 것이다. 그러나 위장 메일은 발신자의 메일 주소가 who.org로 되어있지만, 실제 WHO 공식 홈페이지의 주소는 who.int이다.
발신자의 메일 주소 ‘who.org’ 요주의
개인스마트폰에 대한 스미싱 공격이나, 사용자를 속여 금전적 피해를 입히는 보이스피싱도 지속적으로 증가하고 있다. 명절이나 기념일 등 지인들에게 안부를 전하는 시점이나, 비대면으로 인해 택배 물량이 넘치는 팬데믹의 와중에 이처럼 문자 메시지를 통한 모바일 악성코드가 널리 유포되고 있는 것이다.
또 온라인 쇼핑몰을 통한 주문이 일반화된 상황에서 배송 상황을 알려주는 문자 메시지로 위장, 사용자의 접속을 유도하는 수법이다. 최근엔 또 공격 대상자의 앱 다운로드 시도를 식별해내는 로직을 추가하는 치밀한 방식을 동원하고 있다. 즉 자신들이 만든 악성 앱 다운로드용 페이지를 스마트폰에서 접속했는지, 아니면 PC에서 접속했는지를 먼저 확인하는 것이다. 그런 다음 자신들이 겨냥한 스마트폰 번호인지를 알아낸후 악성 앱을 다운로드하게 한다. 이는 자신들이 의도하지 않는 곳에 자신들의 앱이 노출되는 것을 최소화하기 위한 것이다.
문서파일로 위장한 악성코드 첨부
나아가선 대담하게 국가 주요 기반시설을 공격해 그 내부를 장악하고, 자신들의 목적에 맞게 활용하려는 시도도 서슴지 않는다. 실제로 국내 특정단체 소속 직원 이름을 사용한 발신자로부터 관련 직책자들만을 수신자로 제한한 후, 문서 파일로 위장한 악성코드가 첨부된 타깃 메일을 발송하는 스피어 피싱 공격도 발견되었다.
Microsoft 워드 문서로 만들어진 이 악성코드는 내부 매크로 파일을 통해 악의적인 동작을 수행한 것으로 밝혀졌다. 따라서 사용자가 최초로 문서를 여는 순간 보안 경고창을 통해 '매크로 실행 여부' 선택 메뉴를 보여 주도록 되어 있다. 이메일에 첨부된 문서 파일을 열게 되면 실제 코로나19 관련 내용이 펼쳐지게 되므로, 의심을 피하면서 악성코드를 설치하도록 한 것이다.
사이버 공격의 치명적 무기 ‘랜섬웨어’
특히 랜섬웨어는 여전히 사이버 보안 제일의 공적이다. 그중에서도 산업 제어 시스템을 타깃으로 한 랜섬웨어 공격이 치명적이다. 실제로 유럽 소재 제조회사를 타깃 공격해 파일을 암호화하고, 생산라인의 가동을 멈추게 했던 록커고가(LockerGoga)의 사례가 유명하다. 이는 30개 확장자만 암호화하고 시큐어 이메일만을 사용한다. 또 유효한 디지털 서명을 사용하며, 협상을 통해 지불 금액을 조율하거나, 조직 내부 정보를 수집한 후 유출한다.
올해 초 주목할 만한 랜섬웨어로 스네이크(Snake)가 등장했다. 스네이크 랜섬웨어는 고(Go) 랭귀지를 사용하고, 랜섬웨어에 의해 암호화된 파일 내부의 마지막 부분에 'EKANS'라는 문자열을 추가하는 등 자신만의 고유한 특징을 나타냈다. 스네이크 랜섬웨어는 전형적인 산업제어시스템 타깃 랜섬웨어로, 제어 시스템의 운영체제가 윈도우 기반인 각종 생산기기들을 공격한다. 이는 사용자들의 단순 터치만을 유도하는 윈도우 기반의 HMI 기기, 데이터 보관 서버 등을 공격한게 특징이다.
“수상한 이메일 무조건 삭제, 웹캠 블랙메일 차단”
코로나19의 와중에 몸캠피싱도 극성을 떨고 있다. 이미 온 나라를 떠들썩하게 한 n번방 사건도 그런 사례다. 웹캠 블랙메일이라 불리는 몸캠피싱은 스마트폰 랜덤 채팅 도중, 랜덤 채팅 도중, 음성 혹은 화면이 잘 보이지 않는다는 이유를 말하며 특정 앱 설치를 종용한다. 이렇게 설치된 악성 앱에 의해 스마트폰에 저장된 주소록, 문자 메시지, 사진 등을 유출하는 범죄를 저지르는 것이다. 안랩의 박태환 대응팀장은 “웹캠 블랙메일 형태의 내용이 담긴 이메일을 수신하게 된다면 내용에 상관없이 삭제하되 필요에 따라 사용 중인 계정 삭제, 비밀번호 변경, 서비스 회원 탈퇴 등을 고려하는 것이 필요하다”면서 “이메일 제목에 자신이 사용하는 암호(password)를 넣어서 보내오는 경우 현재 자신의 개인정보 상태를 재확인하고 동일 비밀번호는 파기할 것을 권한다”고 말했다.