메르스 이어 코로나까지…사이버 세상도 위협

[아이뉴스24 김국배 기자] 2015년 메르스(MERS)에 이어 신종 코로나바이러스 감염증(코로나19)이 사이버 세상에서도 위협이 되고 있다. 코로나19과 연관된 내용으로 위장한 악성코드가 심심치 않게 발견되고 있기 때문이다. 전형적인 '사회공학적 공격 기법'이다.

26일 보안업계에 따르면 최근 코로나19를 이용한 다수의 악성코드가 발견되고 있다. 테스트 파일부터 조크(Joke) 파일, 실제 악성파일까지 형태도 다양하다.

안랩은 최근 세계보건기구(WHO)를 사칭한 피싱 메일을 발견했다. 첨부 파일을 실행할 경우 사용자 계정정보를 탈취하는 '에이전트 악성코드(AgentTesla)'가 동작된다.

코로나 바이러스로 인해 발송이 지연됐다는 내용을 담은 스팸 메일도 유포됐다. 첨부된 압축 파일을 열면 '로키봇(Lokibot)' 악성코드가 동작하며, 사용자 계정정보를 빼내간다.

테스트 파일로 추정되기는 하나, 여행자를 위한 코로나 바이러스 주의사항을 담은 악성 문서 파일도 나왔다.

사용자 화면을 잠궈 랜섬웨어에 감염된 것처럼 속였다가 곧장 종료 방법을 알려주거나, 키보드 입력을 방해하지만 재부팅하면 정상화되는 장난에 가까운 악성코드도 등장했다. 모두 코로나19 사태를 악용한 파일이다.

이스트시큐리티 역시 25일 '코로나19 실시간 현황' 조회 프로그램을 가장한 악성코드를 발견했다고 밝혔다. 공격자의 명령제어서버(C2)가 사설 IP 주소라는 점 등을 미뤄볼 때 사전 테스트 목적으로 제작된 것으로 추정되나 실제 원격제어(RAT) 악성 모듈이 포함돼 있다. 유사 변종이 출현할 가능성을 배제할 수 없다는 의미다.

미국 질병통제예방센터(CDC)를 사칭한 악성 메일도 등장했다. 화면 보호기 파일로 꾸민 실행 파일이 압축 파일 형태로 첨부돼 있다. 파일을 실행할 경우 원격제어 악성코드에 감염되고 정보 탈취는 물론 웹캠, 마이크 캡처까지 당할 수 있다.

이처럼 사이버 공격자들은 사회적 이슈나 사람의 불안 심리 등을 악용해 스팸·피싱 메일을 뿌리거나 타깃 공격을 시도한다. 이른바 사회공학적 기법이다. 특히 사람들의 불안과 공포를 자극하는 경우가 많다.

2015년 메르스 사태 당시에도 메르스와 관련한 내용이 포함된 스미싱, 악성코드가 기승을 부렸다. 스미싱 문자에 포함된 인터넷주소(URL)를 클릭해 다운로드되는 악성 앱을 설치하면 스마트폰 내 기기 정보, 공인인증서 등 중요 정보가 유출되는 수법이다. 문서로 위장한 악성코드는 감염된 PC의 시스템을 원격으로 제어했다.

이보원 안랩 분석팀 주임연구원은 "사회적 관심이 높은 이슈를 악용하는 것은 공격자가 즐겨 쓰는 공격 수법"이라며 "관심이 가는 내용이라도 무작정 메일을 열람하거나 첨부파일을 실행하지 않는 보안 의식이 필수"라고 당부했다.

문종현 이스트시큐리티 이사 역시 "코로나와 관련된 악성코드가 간헐적으로 나타나고 있다"며 "집중 모니터링이 중요한 시기"라고 강조했다.

김국배 기자의 다른 기사 보기

• 질본 사칭…코로나 19 관련 악성메일 '주의'

• 이젠 '실시간 감염현황' 위장…'코로나 19' 악성파일 발견