'코로나19'의 확산을 막기 위해 사회 전반적으로 온라인을 활용한 활동이 늘어나고 있다. 하지만 이를 악용한 보안 위협이 대폭 증가하면서 이용자의 각별한 주의가 요구된다.

보안 관련 업체들은 최근 피싱·스팸·스미싱·랜섬웨어·악성코드 등 다양한 방법의 온라인 공격이 지속적으로 이뤄지고 있다고 경고했다.

안랩은 지난 1~2월 동안 업무 관련 메일로 위장한 악성코드 유포 사례를 확인했다. 공격자는 실제 존재하는 기업과 기관을 사칭해 악성 메일을 무작위로 발송했다. 메일 본문에 업무와 관련된 구체적인 내용을 적어 피해자가 의심 없이 메일에 첨부된 악성 파일을 내려받아 실행하도록 유도했다.

송장 및 이력서로 위장한 악성 메일 유포 사례도 발견됐다. 송장 악성 메일 공격자는 우체국을 사칭해 '배송 정보'라는 제목의 메일을 발송하고 '첨부파일을 확인해 지역 사무실을 방문해달라'는 본문과 함께 악성 파일을 첨부했다. 이력서 악성 메일의 경우 악성 파일의 아이콘 이미지를 PDF 문서 아이콘으로 꾸며 피해자의 의심을 줄였다.

 
악성코드를 실행하면 PC 감염 이후 컴퓨터 사용자 이름, 운영체제, PC 활동 내역 등 사용자 정보를 공격자에 전송한다. 사용자 PC 원격제어, 추가 악성코드 다운로드 후 설치 등 추가 악성 행위도 가능하다.

양하영 안랩 분석팀장은 "향후에도 공격자는 기업 사용자가 관심을 보일 수 있는 다양한 주제를 활용해 악성코드 유포를 시도할 것"이라며 "메일 발신자 확인과 첨부파일 실행 자제, 소프트웨어 업데이트 설치 등 기본 보안 수칙을 지키는 습관이 필요하다"고 말했다.

IBM이 확인한 악성코드 '이모텟'은 첨부파일만 클릭해도 피해자의 금융정보를 탈취한다. 최근 이모텟은 여러 차례 업그레이드와 변형을 거쳐 첨부파일뿐 아니라 e메일 본문에 기재된 링크 주소나 이미지를 눌러도 활성화된다. 코로나19 관련 악성 메일은 미국 질병통제예방센터(CDC)나 바이러스 학자 등을 사칭하는 형태로 유포되고 있다.

IBM 관계자는 "개인과 회사 직원들이 피싱 메일을 구분하고 적극적으로 대처할 수 있어야 한다"며 "관련 예방교육은 물론, 중요 데이터 네트워크에 접속할 수 있는 인원은 최소화하고 감염된 웹사이트는 사용자 블랙리스트 등을 만들어 지속적으로 정보를 업데이트해야 한다"고 조언했다.

북한 해킹 조직 '김수키(Kimsuky)'의 소행으로 추정되는 악성 이메일 공격도 발견됐다. 김수키는 과거 문정인 특보 사칭, 대북 국책연구기관 사칭 스피어피싱 등 한국 내 기업과 기관, 관련 종사자를 대상으로 사이버 공격을 지속적으로 반복하고 있다.

악성 이메일은 유창한 한글로 작성됐다. 최근 코로나19 감염 피해 예방을 위해 각종 공지사항이 많이 전달되는 상황을 노린 것으로 보인다. 

 
이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과 이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포된 것으로 확인됐다. 수신자가 이 악성 문서를 열람하면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 다운로드하는 방식이다.

추가로 다운로드된 악성코드는 '코로나바이러스감염증-19 대책 회의'라는 이름의 또 다른 한글 작성 문서를 띄워 사용자 의심을 피한다. 사용자가 알아채지 못하도록 PC 계정정보, 호스트 네임, 네트워크 속성, 사용 중인 프로그램 목록, 실행 중 프로세스 목록 등 각종 정보를 수집한다.

공격자로부터 추가 명령을 받도록 윈도우 작업 스케줄러에 업데이트 프로그램으로 자기 자신을 등록해 3분 간격으로 실행하도록 한다.

문종현 ESRC 센터장은 “최근 코로나19 바이러스 피해를 예방하는 차원에서 재택근무를 많이 채택하면서 국내 기업, 기관의 임직원들이 평소보다 이메일 열람을 자주 할 가능성이 높다"며 "재택근무 시 가상사설망(VPN)을 통해 기업 내부망에 접속하고 있는 상황에서는 더욱 외부 이메일이나 첨부파일을 열람하기 전 주의를 기울여야 한다"고 경고했다.

코로나19 확산으로 집에 머물며 온라인 콘텐츠를 즐기려는 이용자를 노린 랜섬웨어 유포도 이뤄졌다. 불법 다운로드 사이트에서 '다운로드' 버튼을 누르면 악성 광고가 게시된 웹페이지로 이동한다. 이용자가 별다른 행위를 하지 않아도 자동으로 '매그니튜드' 익스플로잇 킷(악성코드 유포 도구)'이 포함된 페이지로 이동한다.

만약 보안 패치가 적용되지 않은 인터넷 익스플로러(IE)를 사용하는 경우 PC는 매그니베르 랜섬웨어에 감염된다.

오민택 안랩 분석팀 연구원은 "코로나19 확산으로 집에 머무는 시간이 증가하는 만큼 온라인 이용자 공격이 증가할 수 있다"면서 "영화 등 콘텐츠는 반드시 정식 경로로만 이용하고 주기적인 인터넷 브라우저 보안 패치로 혹시 모를 감염에 대비해야 한다"고 전했다.