[상반기 악성코드 결산] ① 2~3월에는 코로나19에 대한 이용자 궁금증 악용... 北, 태영호 의원 스마트폰 노리기도

코로나19로 인해 이용자들의 온라인 활동이 늘면서 이용자의 돈과 개인정보를 노린 악성코드가 활개치고 있다. 이들은 주로 이용자의 스마트폰에 URL(인터넷 주소)이 포함된 메시지를 발송한 후 클릭을 유도해 악성 앱이나 악성코드를 침투시키는 방법을 이용하고 있다. 2020년 상반기에는 어떤 악성코드가 유행했을까? 1월부터 6월까지 기승을 부린 악성코드를 정리했다.

올해 상반기의 화두는 단연 코로나19였다. 코로나19 정국에서 이용자가 코로나19 확진자 동선에 대해 궁금해한다는 점을 노린 악성코드가 활개를 쳤다.
 

[사진=게티이미지뱅크 제공]

먼저 코로나19가 확산되기 시작한 2월 말에는 '코로나19 실시간 현황' 조회 프로그램으로 위장한 악성코드가 발견됐다.

이 악성코드는 '코로나 국내 현황', '국내 코로나 실시간 현황' 등의 파일명을 사용하는 실행 프로그램(EXE) 형태로, 파일을 실행하면 변종에 따라 '실시간 코로나19 현황'이라는 제목의 팝업창이 나타난다.

팝업창에는 실제 코로나19 감염 현황을 보여주듯 확진자, 격리 해제(완치), 사망자, 검사 중 등 4가지 항목과 그에 따른 숫자 정보가 나타난다. 이 과정에서 해당 악성 프로그램은 사용자 몰래 PC 임시 폴더에 또 다른 악성코드를 자동으로 설치한다.

새롭게 생성된 악성코드는 실제 악성 행위를 수행하는 기능을 갖고 있다. 감염되면 사용자 PC는 △원격제어 △키로깅 △화면 캡처 △추가 악성코드 설치 △정보 탈취 등 다양한 공격에 노출된다.

이 악성코드의 가장 큰 특징은 사전 테스트 목적으로 제작된 점이다. 이 악성코드를 토대로 3~4월 다양한 변종 악성코드가 기승을 부렸다.

이어 북한의 후원을 받는 해킹조직 '김수키(Kimsuky)'의 소행으로 추정되는 '코로나19' 관련 악성 이메일 공격이 발견되기도 했다.

김수키 조직은 북한의 후원을 받는 것으로 알려진 대표적인 사이버 공격 집단으로 △문정인 특보 사칭 △대북 국책연구기관 사칭 스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 지속해서 반복하고 있다.

김수키의 악성 이메일은 유창한 한글로 내용이 작성되었으며, 수신자가 의심 없이 메일을 열어 보도록 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노렸다. 국제 교류 관련 기관 종사자를 대상으로 유포되었으며, 코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명이 '코로나바이러스대응.doc'인 악성 MS워드 문서가 첨부되어 있었다.

한편, 올 상반기에 북한은 탈북자 출신인 태영호 의원(미래통합당, 당시에는 의원 후보)의 스마트폰을 해킹해 관련 정보를 빼돌리기도 했다. 주로 국내외 외교·안보 당국자를 상대로 피싱 메일을 살포하는 '금성121' 조직 주도로 시도된 이번 해킹으로 태 의원의 문자 메시지, 주소록, 사진, 동영상, 스마트폰 단말기 정보 등이 유출된 것으로 알려졌다.