코로나 바이러스(COVID-19)에 대한 높은 관심을 악용하는 사이버 위협 사례가 증가하고 있는 것으로 나타났다.
팔로알토 네트웍스(지사장 이희만)의 사이버 보안 위협 연구기관 유닛42(Unit 42) 조사에 따르면, 코로나 관련 사이버 공격들의 경우 특별한 기술을 사용하는 것이 아니라 사람들이 위기에 대응하는 행동 양식에 일어난 변화를 악용하고 있다고 밝혔다.
이번 보고서의 목적은 과도한 공포와 불안감 대신 조직과 개인을 더 안전하게 보호하기 위해 발행되었다.
코로나 관련 피싱/멀웨어 배포
가장 보편적인 방법은 코로나 정보에 대한 관심이 높은 점을 이용해 이메일에 첨부된 악성 파일을 열거나 피싱 링크를 클릭하도록 유인하는 수법이다. 이메일 제목에 코로나, COVID-19 등 관련 키워드를 넣고 NetWire, NanoCore, LokiBot 등의 원격 관리 툴(RAT, Remote Administration Tool) 및 기타 멀웨어를 심는 것이다.
유닛42는 제목에 ‘코로나 바이러스 업데이트,’ ‘유니세프의 COVID-19 팁’ 등의 문구가 들어있거나, 첨부 파일명이 ‘CORONA VIRUS1,’ ‘코로나 감염자 명단’ 등으로 되어 있으면 각별히 주의할 것을 권고하며, 앞으로도 감염병 확산 동향에 맞춰 키워드는 계속해서 변화할 것이라고 전망했다. 코로나 바이러스와 더불어 세금계산서, 인보이스, 송장 등의 키워드를 사용한 공격도 꾸준히 이어지고 있는 것으로 나타났다.
페이크 애플리케이션과 코로나 관련 도메인 네임
공격자들은 많은 사람들이 코로나 바이러스가 어떤 영향을 미치는지, 어떻게 하면 더 안전할 수 있는지에 대한 정보를 찾고 있는 점을 악용해 바이러스 정보를 제공하는 어플로 위장한 애플리케이션을 배포하고 있다. 안드로이드 사용자의 경우 구글 플레이스토어 외에 신뢰할 수 없는 출처의 애플리케이션은 설치하지 않아야 하며, 아이폰의 경우 탈옥을 통해 외부 출처 앱을 설치하지 않도록 주의해야 한다.
최근 몇 주 동안 등록된 도메인 중 ‘covid,’ ‘virus,’ ‘corona’를 포함한 도메인이 10만건이 넘는 것으로 확인됐다. 유닛42는 이러한 도메인 전체가 악의적인 의도를 가진 것은 아니지만, 코로나 관련 키워드가 포함되어 있는 경우 언제든 경계를 늦춰서는 안된다고 권고했다. 더불어, 이러한 사이트에서 정보를 가지고 있다거나, 테스트 키트 혹은 치료제를 보유하고 있다고 주장하더라도 코로나 팬데믹 이전에는 이러한 사이트가 존재하지 않았다는 사실을 잊지 말고, 회의적인 입장을 유지해야 한다고 조언했다.
유닛42는 일반적으로 권장되는 보안 최적화 사례가 이러한 코로나 관련 위협에도 동일하게 적용된다고 조언하며, 링크를 클릭하거나 첨부파일을 오픈한 사용자들을 추적하도록 설계된 팔로알토 네트웍스의 제품 및 서비스들이 코로나 관련 테마의 위협을 방어하는데 효과적이라고 밝혔다.
이와 함께 ‘보안 최적성 점검’ (Best Practice Assessment)을 통해 보안 전략을 개선할 수 있도록 구성을 변경해야 할 곳이 있는지 확인해야 하며, PAN-DB URL Filtering 기능을 사용하여 최근 32일 이내에 등록된 도메인을 차단하는 기능을 사용하는 것도 도움이 된다고 덧붙였다. 모든 신규 등록 도메인이 악성인 것은 아니지만 사용자가 악성 공격의 피해를 입는 것으로부터 보호할 수 있기 때문이다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>