• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

코로나 사태를 악용하려는 사이버 범죄자들, 포기를 모르고 있다 2020.05.06

코로나 팬데믹 사태 발표 이후 코로나를 키워드로 삼은 각종 사이버 공격 빠르게 증가
멀웨어 공격만이 유일하게 평상시 수준 유지...무엇보다 피싱 메일 클릭하는 사례 늘어나

[보안뉴스 문가용 기자] 공격자들이 계속해서 코로나 바이러스로 인한 팬데믹 사태를 악용해 피싱 공격을 퍼붓는 것으로 나타났다. 특히 늘어나고 있는 재택 근무자들을 통해 조직 내 고가치 정보를 노리는 행위가 끝도 없이 발생하고 있다고 한다. 이런 현상을 적발하는 내용의 보고서가 이번 주에만 두 개나 발표됐다.

[이미지 = iclickart]


먼저 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발표한 바에 따르면, 현재 매일 코로나를 테마로 해서 등록되는 악성 혹은 위험한 도메인의 수가 평균 18000개라고 한다. 이 중 1/3이 미국의 조직이나 개인을 노리고 있으며, 그 외 나머지 국가들이 각각 4% 미만을 기록하고 있다.

코로나 바이러스를 테마로 한 공격은 요 몇 달 동안 계속해서 스펨 메시지 전파에 적극 활용되었다. 팬데믹 사태가 선포되고 100일 동안 코로나 바이러스를 키워드로 삼은 스팸 메시지는 26% 증가했고, 코로나 사태와 관련이 있는 조직인 척 가장한 공격은 30% 증가했다고 마임캐스트(Mimecast)가 보고서를 통해 발표했다. “게다가 회사만큼 보안이 단단하지 않은 집에서 근무하는 사람이 늘어나 공격 성공률도 상승 추세에 있다”고 마임캐스트의 칼 웨언(Carl Wearn)은 설명한다.

사이버 공격자들은 가짜로 협업 플랫폼의 공식 이메일을 만들기도 하고, 코로나와 관련된 것처럼 도메인을 등록함으로써 사용자들을 자꾸만 꼬드기고 있다. 그러면서 각종 크리덴셜이 빠르게 도난당하고 있기도 하다. 마이크로소프트는 4월 초 “코로나를 키워드로 한 각종 경보가 여기저기서 들어오고 있다”며 “사람들 사이에서 나타나고 있는 공포 심리를 적극 활용하는 게 현대 공격자들”이라고 경고했었다.

그러나 이러한 일 때문에 보안 업계가 같이 흥분해서는 안 된다. 팔로알토는 “코로나를 활용하여 새롭게 등록된 도메인들 중 약 7% 정도만 위험하거나 악성으로 분류될 수 있다”고 보고서를 통해 주장했다. 마이크로소프트도 4월 초 “전체 피싱 공격에서 코로나를 테마로 한 건 약 2%밖에 되지 않는다”고 주장하기도 했었다. 코로나를 공격이나 속임수에 활용해보려는 시도가 많긴 하지만, 그게 전부 사이버 위협이 되는 건 아니라는 뜻이다.

팔로알토 네트웍스는 이번 보고서 작성을 위해 120만개 도메인들로 구성된 데이터셋을 사용했다. 전부 3월 9일부터 4월 19일 사이에 새로 등록된 것들이다. 분석을 통해 약 86,600개 도메인이 ‘위험하다’고 밝혀졌다. 80%에 가까운 도메인들에 멀웨어 배포 서버가 호스팅 되어 있었고, 20%는 피싱 공격에 활용되고 있었다. 그리고 나머지 0.2%는 C&C 서버였다.

그러면서 팔로알토는 “코로나 사태 때문에 재택 근무자가 늘어나고, 그러면서 클라우드 도입이 가속화 되고 있다”며 “따라서 공격자들도 클라우드 사용자들을 더 많이 노리기 시작했는데, 최근에는 아예 클라우드를 공격자 자신들이 사용해 공격을 실행하는 사례도 많아지고 있다”고 설명했다. “공격을 클라우드에서부터 시작할 경우 탐지가 어려워집니다. 공격은 오히려 더 위험해지고요.” 이래저래 코로나가 클라우드이 인기를 가속시킨 것이라고 볼 수 있다.

공격자들은 공공 클라우드 서비스를 공격에 곧잘 활용하곤 하는데, 압도적으로 많이 활용되고 있는 건 아마존 웹 서비스(AWS)였다. 코로나 바이러스를 테마로 한 새 도메인들 중 의심스러운 것들의 70%가 전부 AWS에 호스팅되어 있었던 것이다. 악성으로 명확히 분류되는 도메인들 중 AWS에 호스팅 되어 있던 건 80%였다.

마임캐스트에 의하면 코로나 사태가 지속된 100일 동안 탐지, 스팸, 사칭 공격이 전부 증가했다고 한다. 멀웨어 공격만이 이 기간 동안 눈에 띄는 증가 추세를 보이지 않았다. 하지만 무엇보다 심각한 건 3월 후반부와 4월 초반부, 이메일 메시지의 URL을 클릭하는 사용자의 수가 급격하게 늘어났다는 사실이라고 마임캐스트는 강조했다. 따라서 재택 근무자의 보안 교육이 시급하다고 웨언은 강조했다.

3줄 요약
1. 코로나는 현재 범죄자들 사이에서 가장 인기 높은 키워드.
2. 피싱, 스팸, 사칭 등 각종 사이버 범죄는 증가하고 있는데 멀웨어 공격만 평상시 유지.
3. 무엇보다 사용자들의 URL 클릭 비율 늘어난 것이 가장 심각.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>