[코로나 이후의 보안] ① 팬데믹을 기회로 삼은 범죄자들

일반인 피싱부터 질병관련 국제기구·제약사 해킹까지

코로나19로 원격근무 시행되자 기업 보안 관심 증가

비대면 소비·온라인 지출 늘자 금전 노린 공격 많아져

기업 운영기술 및 IoT 노린 공격…보안 강화 움직임

[사진=게티이미지뱅크]

코로나19 팬데믹(세계적 대유행)이 몰고 온 비대면으로의 전환은 합법과 불법을 가리지 않았다. 디지털 기술로 구현된 사이버 공간을 활용하는 개인과 기업들이 많아지자, 이들의 정보·재산을 탈취하려는 사이버 범죄 활동도 두드러지고 있다.

범죄자들은 사람들의 질병에 대한 두려움과 걱정을 이용했다. 코로나19 관련 정보를 얻고자 하는 일반인에게 악성코드와 악성링크를 보내 위험에 빠뜨리고 이익을 얻으려 했다. 코로나19 확산을 막고 질병과 싸우는 의료계 종사자, 관련기관 관계자들에게까지 공격을 감행했다.
 

일반인 피싱부터 질병관련 국제기구·제약사 해킹까지

보안 소프트웨어 기업 이스트시큐리티는 9일 북한 정부와 연계된 것으로 알려진 해킹 조직 '탈륨'과 '금성121'이 한국·미국 등지에서 활발한 첩보 활동을 전개하고 있으며 최근 코로나19 치료제를 연구하는 국내외 대표 제약사 대상 해킹을 시도했다고 밝혔다. 이스트시큐리티는 최근 이들의 소행으로 추정되는 APT공격이 연이어 발견됐고, 통일부를 사칭한 악성 이메일, 춘천시 평화통일관련 공모전 신청서로 위장한 악성HWP 문서가 유포됐다고 분석했다.

보안관제 전문기업 이글루시큐리티가 지난 3일 발표한 보안위협·기술전망보고서에 따르면 올해 상반기 코로나19 연관 정보를 가장한 악성 메일이 폭증했다. 공격자들은 마스크 판매 기업, 백신연구기관, 세계보건기구(WHO) 등을 위장해 사용자들이 현혹될만한 문구를 사용했다.

마이크로소프트(MS)도 지난 8월 19일 '보안 엔드포인트 위협 보고서 2019'를 발표 당시 코로나19 관련 공격이 발견됐다고 설명했다. MS는 당시 코로나19 관련 정보 수요가 높아짐에 따라, 발병 국가에서 성공 확률이 높은 공격량이 증가하고 있다고 분석했다. 하루 수백만건씩 발견되는 피싱 메시지 가운데 약 6만개가 코로나19 관련 악성 첨부파일 및 링크를 포함하고, 공격자들이 WHO, 질병통제예방센터(CDC), 보건복지부같은 단체를 사칭해 사용자 수신함에 접근하고 있다고 지적했다.
 

코로나19로 원격근무 시행되자 기업 보안 관심 증가

 

[사진=게티이미지뱅크]

코로나19 사태 이후 이같은 위협이 고조됨에 따라 올해 규모가 큰 기업들은 보안에 대한 관심과 투자를 늘리고 있는 것으로 나타났다.

MS는 지난 8월 27일 미국·영국·인도·독일의 직원 수 500명 이상 기업 리더 800명을 대상으로 진행한 '뉴노멀 시대 기업 사이버 보안 조사' 결과를 공개했다. 조사 결과 대다수 기업이 팬데믹 이후 급증한 피싱 사기, 보안 예산, 인력 관리 등에 영향을 받고 있다고 밝혔다. 응답자들은 재택근무 증가에 따라 IT자원에 원격 접근을 제공하는 것이 현시점에 최대 비즈니스 과제가 됐고 이를 위한 접근제어수단으로 다중요소인증(MFA)을 채택하고 있다고 설명했다.

응답 기업 90% 이상이 피싱 공격 영향을 받았고 그 중 28%는 실제 피싱 피해를 겪었다. 피싱 공격 발생 추이를 보면 온프레미스 환경의 조직이 약 36%의 발생율을 보이며 클라우드나 혼합형 클라우드 기반의 조직 보다 더 많은 피해를 호소하는 것으로 나타났다. MS는 이런 사이버공격 탐지와 대응을 위해 광범위한 데이터셋 확보가 중요하다고 강조했다.

이 조사에 응답한 기업 94%가 사이버보안 강화 대책으로 '제로 트러스트' 보안 모델을 구축하고 있다고 답했다. MFA 기능 지원은 그 일환이었다. 이밖에 보안전문 인력을 추가 배치(80%)하고 규정준수(65%)와 보안관리(58%)를 위해 예산을 늘리고 있다는 응답 비중이 많았다. 응답 40% 가량은 보안 예산 부담 최소화를 위해 클라우드 보안을 우선시하고 있었다.
 

비대면 소비·온라인 지출 늘자 금전 노린 공격 많아져

지속적으로 발생하고 있는 랜섬웨어 공격도 온라인 기반 소비와 지출이 확대되면서 크게 늘었다.

이글루시큐리티의 보고서에 따르면 올해 탐지된 사이버공격 35% 이상은 랜섬웨어였고, 올해 들어 랜섬웨어와 분산서비스거부(DDoS) 공격이 결합된 '랜섬디도스(RDDoS)' 공격이 증가 추세를 나타냈다. 이글루시큐리티는 "유명 APT그룹을 자칭하는 공격자들이 암호화폐를 지불하지 않으면 랜섬디도스 공격을 감행하겠다며 기업과 기관을 협박하고 있다"며 "국내에서 추석연휴 중 금융 및 교육기관을 노린 랜섬디도스 공격이 발생하며 긴장감을 고조시켰다"고 지적했다.

안랩도 지난 9월 '비대면 추석연휴'에 악성코드 유포, 개인정보 탈취 시도가 많아질 수 있다며 보안수칙을 발표했다. 고향방문 대신 선물을 주고받는 상황을 노리거나 택배 알림으로 위장한 스미싱 문자·메일 공격이 벌어질 수 있다는 지적이었다. 안랩은 2차 재난지원금 지급 위장 악성문자, 유명 국제배송업체 송장확인 메일로 위장한 악성코드, 택배도착안내 위장 스미싱 등 사례를 언급하고 명절을 맞아 유포되는 자녀 사칭 문자로 악성 앱 설치, 금전 피해를 입을 수 있다고 경고했다.

특정 연휴기간을 노린 사이버위협은 국내에만 있는 일이 아니었다. 미국 사이버보안 기업 파이어아이는 지난 2일 연말 연휴시즌 기간에 소비 활동과 지출이 증가하므로 사이버 범죄자가 여러 종류의 악성 공격을 시행할 수 있는 기회가 늘고, 올해는 온라인 활동량이 늘어 위협이 훨씬 많을 것이라고 봤다. 소매업체 대상 랜섬웨어 공격, 계정 해킹 공격, 전자상거래 사이트를 겨냥한 웹스키밍 공격, 피싱 사이트 방문을 유도하는 악성코드, 기업 이메일 침해(BEC) 시도 우려가 제기됐다.
 

기업 운영기술 및 IoT 노린 공격…보안 강화 움직임

 

[사진=게티이미지뱅크]

일반 개인 소비자들만 랜섬웨어 공격 표적이 되는 것도 아니었다.

네트워크 보안장비 기업 포티넷은 지난 9월 14일 '2020년 상반기 글로벌 위협 전망 보고서'를 발표했다. 이 보고서 역시 글로벌 팬데믹으로 인한 불확실성, 공포를 틈타 사이버범죄자와 국가주도 공격자들이 대규모 사이버공격을 실행하고 있다고 지적했다. 많은 위협이 팬데믹과 연관된 가운데 일부 위협, 사물인터넷(IoT) 장치와 운영기술(OT)을 노리는 공격과 랜섬웨어도 감소하지 않고 더 정교하게 진화하고 있다고 진단했다.

포티넷이 탐지한 올해 상반기 코로나19 관련 메시지, 첨부파일이 다양한 랜섬웨어 공격용 미끼로 쓰였다. 통신, 교육, 정부, 기술 산업계에 랜섬웨어 공격이 집중됐다. 사이버공격에서 IoT 기기 취약점을 악용하는 봇넷 악성코드 '미라이(Mirai)'와 '고스트(Ghost)'의 활동이 두드러졌다. 이는 원격 근무자들이 기업 네트워크와 연결을 위해 사용하는 장치를 악용해 기업 네트워크 공격 거점을 확보하려는 사이버 범죄자들의 의도를 보여준다.

클라우드 서비스와 IoT 기기 분야 보안 강화 움직임이 이어졌다.

정보보안 기업 엔트러스트가 지난달 9월 발표한 '2020 글로벌 PKI 및 IoT 동향 보고서'에 따르면 클라우드, 모바일 기기, 본인인증, IoT 등을 보호하는 공개키기반구조(PKI) 기술 채택이 늘었다. 엔트러스트 자회사 엔사이퍼시큐리티 의뢰를 받아 시장조사기업 포네몬인스티튜트가 한국 포함 세계 17개국 IT보안전문가 1900여명 대상으로 진행한 설문조사 결과다. 응답자 47%가 올해 PKI 도입의 주요 동력으로 IoT를 꼽았고 44%가 클라우드기반 서비스를 꼽았다.

PKI는 일반 사용자용 웹사이트 및 서비스의 TLS/SSL 인증에 가장 많이 사용됐다(응답자의 84%). 퍼블릭 클라우드 기반 애플리케이션은 82%로 전년 대비 27% 증가하며 가장 높은 연간 성장률을 보였다. 한국은 특히 퍼블릭 클라우드 기반 애플리케이션에 PKI를 사용한 비율이 96%로 매우 높았다. 기업 사용자 인증은 70%로 전년 대비 19% 늘었다. 기업이 관리해야 하는 인증서 평균 개수는 5만6192개로 전년 대비 43% 늘었다.