2020.03.23

사이버범죄자가 코로나 19 사태를 악용하는 방법 6가지와 원격 작업을 위한 보안 우선순위

Dan Swinhoe | CSO
사이버범죄자는 코로나바이러스감염증-19(이하 코로나19) 사태를 악용해 악성코드를 확산시키고, 운영을 방해하고 의심을 심고, 빠르게 돈을 벌고 있다.
 
ⓒ Getty Images Bank

조직은 직원이 원격으로 안전하게 작업할 수 있도록 많은 조치를 취할 수 있지만, 모든 경계의 위협 행위자는 이미 코로나 19 상황을 악용하고 있다. 기회를 놓치지 않는 공격자는 코로나19 주제의 이메일, 앱, 웹 사이트, 소셜미디어를 통해 악성코드를 유포하는 작업을 강화하고 있다. 다음은 사이버범죄자가 조직을 공격하기 위해 사용하는 잠재적 위협 요소 및 기술에 대한 분석이다.


사이버범죄자가 코로나19 사태를 악용하는 방법

1. 피싱 이메일
이메일은 사람과 조직에 있어 가장 큰 위협 요소이며, 앞으로도 계속 그럴 것이다. 사이버범죄자는 자신의 성공율을 높이기 위해 피싱 캠페인에 세계적인 사건들을 사용해왔고, 코로나바이러스도 예외는 아니다.

디지털 섀도우(Digital Shadows)에 따르면, 바이러스 발생 지도로 위장한 이메일 첨부파일을 사용하는 코로나19 피싱 키트는 다크웹 시장에서 200~700달러 가격에 광고하고 있다.

이 이메일의 주제는 특정 산업별 분석 보고서나 정부의 공식 건강 조언 세부사항에서부터 이 기간동안 안면 마스크의 물류에 관한 정보를 제공하는 판매자에 이르기까지 다양하다. 이 이메일에 포함된 페이로드 또한 랜섬웨어 및 키로거에서 원격 액세스 트로이목마 및 정보 도용에 이르기까지 다양하다.

프루프포인트(Proofpoint) 위협 연구 및 탐지 책임자 셰로드 드그리포는 “잠재적 피해자가 두려움을 갖고 클릭하도록 시도하는 많은 코로나19 악성 이메일 캠페인을 관찰한 결과, 범죄자는 한번에 수십 개에서 20만 개가 넘는 이메일을 보냈으며, 캠페인 수는 계속 증가하고 있다. 처음에는 전 세계에서 하루에 한번 캠페인을 보고 있었는데, 지금은 하루에 서너 번 관찰되는 상황이다”라고 말했다.

드그리포는 프루프포인트 위협팀이 발견한 이메일의 약 70%는 지메일이나 오피스 365와 같은 가짜 랜딩 페이지를 통해 피해자의 자격 증명을 도용하려고 악성코드를 전달하고 있다고 말했다. 프루프포인트에 따르면, 코로나바이러스 관련 이메일 루트의 총 볼륨은 지금까지 관찰해 온 단일 주제에서 가장 큰 공격 유형의 집합이다.

특히 NCSC(National Computer Security Center)와 WHO(World Health Organization)는 공식 기관에서 온 것으로 알려진 사기성 이메일에 대해 공개적으로 경고했다. CDC(Centers for Disease Control and Prevention)에서 보낸 것으로 보이는 다양한 피싱 이메일이 유포되고 있다.

BAE 시스템즈 보고서에 따르면, 코로나19를 주제로 하는 이메일을 발송하는 사이버범죄자는 인도 정부를 표적으로 하는 트랜스페어런트 트라이브(Transparent Tribe, APT36이라고도 함), 러시아와 연관이 있는 샌드웜/올림픽데스트로이어(Sandworm/OlympicDestroyer), 가마레돈(Gamaredon) 그룹, 중국과 연계된 오퍼레이션 레그타임(Operation LagTime), 무스탕 팬더(Mustang Panda) 등이 포함되어 있다.

2. 악의적인 앱
애플이 앱 스토어에서 코로나19 관련 앱을 제한하고, 구글이 플레이스토어에서 일부 앱을 제거했지만, 악의적인 앱은 여전히 사용자에게 위협이 될 수 있다. 도메인툴즈(DomainTools)는 사용자에게 코로나19에 대한 추적 및 통계 정보를 제공하는 안드로이드 앱을 다운로드하도록 유도하는 사이트를 발견했다. 하지만 이 앱에는 현재 코비드락(COVIDLock)으로 알려진 안드로이드용 랜섬웨어가 탑재되어 있다. 몸값 메모에는 48시간 내에 100달러 상당의 비트코인을 요구하며, 연락처, 사진, 동영상은 물론 휴대 전화의 메모리를 지우겠다고 위협한다.

도메인툴즈는 코비드락과 관련된 도메인이 이전에는 포르노 관련 악성코드를 배포하는 데 사용됐다고 보고했다. 도메인툴즈 수석 보안 엔지니어이자 악성코드 연구원 타릭 살레는 “이 캠페인의 오랜 역사를 보면, 코로나19 사기는 이 악성코드의 배후에 있는 이들의 새로운 모험이자 테스트임을 알 수 있다”라고 설명했다.

또한 프루프포인트는 사용자가 컴퓨터 사용 능력을 SETI@Home에 기증하는 것처럼 코로나19 연구에 사용한다고 속여 비트버킷(Bitbucket)을 통해 전달되는 정보 도용용 악성코드를 전달하도록 요구하는 캠페인을 발견했다.

3. 나쁜 도메인
새로운 웹 사이트가 코로나19 관련 정보를 전달하기 위해 빠르게 확산되고 있다. 그러나 이 사이트 가운데 다수는 의심의 여지가 없는 피해자를 위한 함정이기도 하다. 보고서에 따르면, 지난 몇 주동안 수백 개의 코로나19 관련 도메이니이 매일 등록됐다. 체크포인트는 코로나19 관련 도메인이 같은 기간에 등록된 다른 도메인보다 악의적일 가능성이 50% 더 높다고 말했다.

NCSC는 가짜 사이트가 미국 CDC를 사칭하고 CDC의 웹 주소와 유사한 도메인 주소를 만들어 “가짜 백신에 자금을 지원하기 위한 비밀번호와 비트코인 기부”를 요청하고 있다고 보고했다.

리즌 시큐리티(Reason Security)와 멜웨어바이츠(Malwarebytes)는 악성코드를 뿌리는데 사용되는 코로나19 감염 지도를 발견했다고 보고했다. 이 사이트에는 자격 증명, 지불카드 번호, 쿠키 및 민감한 브라우저 기반 데이터를 훔쳐 C&C 서버로 유출하는 아조럴트(AZORult) 악성코드가 탑재되어 있었다. 또한 암호화폐 지갑을 찾고 허가받지 않은 스크린샷을 찍고 감염된 시스템에서 기기 정보를 수집할 수 있다.  

4. 안전하지 않은 엔드포인트 및 최종 사용자
많은 수의 직원이나 전체 기업이 장기간 원격으로 작업함에 따라 엔드포인트 및 이를 사용하는 이들의 위험도 증가한다. 직원이 정기적으로 시스템을 업데이트하지 않으면 집에서 사용하는 기기는 더욱 취약해질 수밖에 없다.

집에서 장기간 근무하면 사용자가 사무실에서 일반적으로 따를 수 있는 기기 정책에 섀도우 애플리케이션을 다운로드하도록 권장할 수 있다. 출장이 적을수록 직원이 국경에서 보안 문제를 겪을 가능성이 줄어들 수 있지만, 실제로는 집에 머물 경우에 안전하지 않는 와이파이 네트워크에 연결하거나 기기를 분실할 위험만 줄어 든다. 카페에서 일하기 위해 밖으로 나가는 사람은 아마도 기기를 도난 당하거나 분실하거나 중간자 공격(man-in-the-middle attacks)에 취약할 수 있다.

국제정보기술자산관리협회(International Association of Information Technology Asset Managers)는 집으로 가져가는 모든 IT 자산을 서명하고 추적할 것을 권고하고, 기업이 가정에서 자산을 사용하는 방법에 대해 정책과 조언을 제공해야 한다(특히 사용자가 가족과 기기를 공유하는 데 익숙하다면 절실하다). 사용자에게 퍼블릭 무선 연결에 대한 정책을 상기시키고, 이를 실행할 것을 권고한다. 확실히 사용자는 자신의 필요에 따라 계속 업데이트한다.
 
5. 공급업체와 서드파티의 취약점
생태계의 모든 파트너, 고객 및 서비스 제공업체는 모두 동일한 문제를 겪고 있을 것이다. 서드파티의 관련 부서과 연락해 원격 인력을 보호하기 위한 조치를 취하고 있는지 확인하라.

6. 의료 기관 공략
최근 미국 일리노이주 공중보건 웹 사이트가 랜섬웨어에 당했고, 미국 보건복지부(HHS)는 DDoS 공격에 시달렸다. 모든 형태와 크기의 의료 기관이 평소보다 스트레스를 받기 쉽기 때문에 직원들이 클릭하는 것에 대해 더 방심할 수가 있다.

기회 범죄자나 운영을 방해하고자 하는 사람은 이 부분을 악용할 가능성이 더 높다. 의료 부문에 종사하거나 의료 서비스를 제공하는 CISO는 직원이 의심스러운 링크와 문서에 주의를 기울이고 DDoS 공격에 대해 운영의 탄력성을 갖도록 해야 한다.


원격 작업을 보장하기 위한 보안 우선순위

비트디펜더(Bitdefender) 글로벌 사이버보안 연구원 리비우 아르센은 조직이 안전하고 안정적인 원격 작업을 보장하기 위해 다음과 같은 단계를 수행할 것을 권장한다.
 
  • 모든 원격 직원을 수용할 수 있는 동시 VPN 연결 수를 늘린다.
  • 안정적인 음성 및 동영상 연결을 보장하는 회의 소프트웨어를 설정하고 지원한다.
  • 원격으로는 만료된 액티브 디렉터리 자격 증명을 변경하기 어려울 수 있으므로 모든 직원이 30일 이내에 만료되지 않은 유효한 자격증명을 갖고 있는지 확인한다.
  • 승인된 애플리케이션 및 협업 플랫폼에 대한 규칙과 지침을 보내 직원이 승인 및 지원 대상과 그렇지 않는 것에 대해 알 수 있도록 한다.
  • VPN 연결 직원에게 한번에 모든 업데이트를 제공하면 대역폭 정체가 발생하고 인바운드 및 아웃바운드 트래픽에 영향을 줄 수 있으므로 업데이트 배포를 위한 점진적인 롤아웃 절차를 수립해야 한다.
  • 모든 엔드포인트에 대해 디스크 암호화를 실행해 해킹당한 기기의 데이터 손실 위험을 줄여라. editor@itworld.co.kr


2020.03.23

사이버범죄자가 코로나 19 사태를 악용하는 방법 6가지와 원격 작업을 위한 보안 우선순위

Dan Swinhoe | CSO
사이버범죄자는 코로나바이러스감염증-19(이하 코로나19) 사태를 악용해 악성코드를 확산시키고, 운영을 방해하고 의심을 심고, 빠르게 돈을 벌고 있다.
 
ⓒ Getty Images Bank

조직은 직원이 원격으로 안전하게 작업할 수 있도록 많은 조치를 취할 수 있지만, 모든 경계의 위협 행위자는 이미 코로나 19 상황을 악용하고 있다. 기회를 놓치지 않는 공격자는 코로나19 주제의 이메일, 앱, 웹 사이트, 소셜미디어를 통해 악성코드를 유포하는 작업을 강화하고 있다. 다음은 사이버범죄자가 조직을 공격하기 위해 사용하는 잠재적 위협 요소 및 기술에 대한 분석이다.


사이버범죄자가 코로나19 사태를 악용하는 방법

1. 피싱 이메일
이메일은 사람과 조직에 있어 가장 큰 위협 요소이며, 앞으로도 계속 그럴 것이다. 사이버범죄자는 자신의 성공율을 높이기 위해 피싱 캠페인에 세계적인 사건들을 사용해왔고, 코로나바이러스도 예외는 아니다.

디지털 섀도우(Digital Shadows)에 따르면, 바이러스 발생 지도로 위장한 이메일 첨부파일을 사용하는 코로나19 피싱 키트는 다크웹 시장에서 200~700달러 가격에 광고하고 있다.

이 이메일의 주제는 특정 산업별 분석 보고서나 정부의 공식 건강 조언 세부사항에서부터 이 기간동안 안면 마스크의 물류에 관한 정보를 제공하는 판매자에 이르기까지 다양하다. 이 이메일에 포함된 페이로드 또한 랜섬웨어 및 키로거에서 원격 액세스 트로이목마 및 정보 도용에 이르기까지 다양하다.

프루프포인트(Proofpoint) 위협 연구 및 탐지 책임자 셰로드 드그리포는 “잠재적 피해자가 두려움을 갖고 클릭하도록 시도하는 많은 코로나19 악성 이메일 캠페인을 관찰한 결과, 범죄자는 한번에 수십 개에서 20만 개가 넘는 이메일을 보냈으며, 캠페인 수는 계속 증가하고 있다. 처음에는 전 세계에서 하루에 한번 캠페인을 보고 있었는데, 지금은 하루에 서너 번 관찰되는 상황이다”라고 말했다.

드그리포는 프루프포인트 위협팀이 발견한 이메일의 약 70%는 지메일이나 오피스 365와 같은 가짜 랜딩 페이지를 통해 피해자의 자격 증명을 도용하려고 악성코드를 전달하고 있다고 말했다. 프루프포인트에 따르면, 코로나바이러스 관련 이메일 루트의 총 볼륨은 지금까지 관찰해 온 단일 주제에서 가장 큰 공격 유형의 집합이다.

특히 NCSC(National Computer Security Center)와 WHO(World Health Organization)는 공식 기관에서 온 것으로 알려진 사기성 이메일에 대해 공개적으로 경고했다. CDC(Centers for Disease Control and Prevention)에서 보낸 것으로 보이는 다양한 피싱 이메일이 유포되고 있다.

BAE 시스템즈 보고서에 따르면, 코로나19를 주제로 하는 이메일을 발송하는 사이버범죄자는 인도 정부를 표적으로 하는 트랜스페어런트 트라이브(Transparent Tribe, APT36이라고도 함), 러시아와 연관이 있는 샌드웜/올림픽데스트로이어(Sandworm/OlympicDestroyer), 가마레돈(Gamaredon) 그룹, 중국과 연계된 오퍼레이션 레그타임(Operation LagTime), 무스탕 팬더(Mustang Panda) 등이 포함되어 있다.

2. 악의적인 앱
애플이 앱 스토어에서 코로나19 관련 앱을 제한하고, 구글이 플레이스토어에서 일부 앱을 제거했지만, 악의적인 앱은 여전히 사용자에게 위협이 될 수 있다. 도메인툴즈(DomainTools)는 사용자에게 코로나19에 대한 추적 및 통계 정보를 제공하는 안드로이드 앱을 다운로드하도록 유도하는 사이트를 발견했다. 하지만 이 앱에는 현재 코비드락(COVIDLock)으로 알려진 안드로이드용 랜섬웨어가 탑재되어 있다. 몸값 메모에는 48시간 내에 100달러 상당의 비트코인을 요구하며, 연락처, 사진, 동영상은 물론 휴대 전화의 메모리를 지우겠다고 위협한다.

도메인툴즈는 코비드락과 관련된 도메인이 이전에는 포르노 관련 악성코드를 배포하는 데 사용됐다고 보고했다. 도메인툴즈 수석 보안 엔지니어이자 악성코드 연구원 타릭 살레는 “이 캠페인의 오랜 역사를 보면, 코로나19 사기는 이 악성코드의 배후에 있는 이들의 새로운 모험이자 테스트임을 알 수 있다”라고 설명했다.

또한 프루프포인트는 사용자가 컴퓨터 사용 능력을 SETI@Home에 기증하는 것처럼 코로나19 연구에 사용한다고 속여 비트버킷(Bitbucket)을 통해 전달되는 정보 도용용 악성코드를 전달하도록 요구하는 캠페인을 발견했다.

3. 나쁜 도메인
새로운 웹 사이트가 코로나19 관련 정보를 전달하기 위해 빠르게 확산되고 있다. 그러나 이 사이트 가운데 다수는 의심의 여지가 없는 피해자를 위한 함정이기도 하다. 보고서에 따르면, 지난 몇 주동안 수백 개의 코로나19 관련 도메이니이 매일 등록됐다. 체크포인트는 코로나19 관련 도메인이 같은 기간에 등록된 다른 도메인보다 악의적일 가능성이 50% 더 높다고 말했다.

NCSC는 가짜 사이트가 미국 CDC를 사칭하고 CDC의 웹 주소와 유사한 도메인 주소를 만들어 “가짜 백신에 자금을 지원하기 위한 비밀번호와 비트코인 기부”를 요청하고 있다고 보고했다.

리즌 시큐리티(Reason Security)와 멜웨어바이츠(Malwarebytes)는 악성코드를 뿌리는데 사용되는 코로나19 감염 지도를 발견했다고 보고했다. 이 사이트에는 자격 증명, 지불카드 번호, 쿠키 및 민감한 브라우저 기반 데이터를 훔쳐 C&C 서버로 유출하는 아조럴트(AZORult) 악성코드가 탑재되어 있었다. 또한 암호화폐 지갑을 찾고 허가받지 않은 스크린샷을 찍고 감염된 시스템에서 기기 정보를 수집할 수 있다.  

4. 안전하지 않은 엔드포인트 및 최종 사용자
많은 수의 직원이나 전체 기업이 장기간 원격으로 작업함에 따라 엔드포인트 및 이를 사용하는 이들의 위험도 증가한다. 직원이 정기적으로 시스템을 업데이트하지 않으면 집에서 사용하는 기기는 더욱 취약해질 수밖에 없다.

집에서 장기간 근무하면 사용자가 사무실에서 일반적으로 따를 수 있는 기기 정책에 섀도우 애플리케이션을 다운로드하도록 권장할 수 있다. 출장이 적을수록 직원이 국경에서 보안 문제를 겪을 가능성이 줄어들 수 있지만, 실제로는 집에 머물 경우에 안전하지 않는 와이파이 네트워크에 연결하거나 기기를 분실할 위험만 줄어 든다. 카페에서 일하기 위해 밖으로 나가는 사람은 아마도 기기를 도난 당하거나 분실하거나 중간자 공격(man-in-the-middle attacks)에 취약할 수 있다.

국제정보기술자산관리협회(International Association of Information Technology Asset Managers)는 집으로 가져가는 모든 IT 자산을 서명하고 추적할 것을 권고하고, 기업이 가정에서 자산을 사용하는 방법에 대해 정책과 조언을 제공해야 한다(특히 사용자가 가족과 기기를 공유하는 데 익숙하다면 절실하다). 사용자에게 퍼블릭 무선 연결에 대한 정책을 상기시키고, 이를 실행할 것을 권고한다. 확실히 사용자는 자신의 필요에 따라 계속 업데이트한다.
 
5. 공급업체와 서드파티의 취약점
생태계의 모든 파트너, 고객 및 서비스 제공업체는 모두 동일한 문제를 겪고 있을 것이다. 서드파티의 관련 부서과 연락해 원격 인력을 보호하기 위한 조치를 취하고 있는지 확인하라.

6. 의료 기관 공략
최근 미국 일리노이주 공중보건 웹 사이트가 랜섬웨어에 당했고, 미국 보건복지부(HHS)는 DDoS 공격에 시달렸다. 모든 형태와 크기의 의료 기관이 평소보다 스트레스를 받기 쉽기 때문에 직원들이 클릭하는 것에 대해 더 방심할 수가 있다.

기회 범죄자나 운영을 방해하고자 하는 사람은 이 부분을 악용할 가능성이 더 높다. 의료 부문에 종사하거나 의료 서비스를 제공하는 CISO는 직원이 의심스러운 링크와 문서에 주의를 기울이고 DDoS 공격에 대해 운영의 탄력성을 갖도록 해야 한다.


원격 작업을 보장하기 위한 보안 우선순위

비트디펜더(Bitdefender) 글로벌 사이버보안 연구원 리비우 아르센은 조직이 안전하고 안정적인 원격 작업을 보장하기 위해 다음과 같은 단계를 수행할 것을 권장한다.
 
  • 모든 원격 직원을 수용할 수 있는 동시 VPN 연결 수를 늘린다.
  • 안정적인 음성 및 동영상 연결을 보장하는 회의 소프트웨어를 설정하고 지원한다.
  • 원격으로는 만료된 액티브 디렉터리 자격 증명을 변경하기 어려울 수 있으므로 모든 직원이 30일 이내에 만료되지 않은 유효한 자격증명을 갖고 있는지 확인한다.
  • 승인된 애플리케이션 및 협업 플랫폼에 대한 규칙과 지침을 보내 직원이 승인 및 지원 대상과 그렇지 않는 것에 대해 알 수 있도록 한다.
  • VPN 연결 직원에게 한번에 모든 업데이트를 제공하면 대역폭 정체가 발생하고 인바운드 및 아웃바운드 트래픽에 영향을 줄 수 있으므로 업데이트 배포를 위한 점진적인 롤아웃 절차를 수립해야 한다.
  • 모든 엔드포인트에 대해 디스크 암호화를 실행해 해킹당한 기기의 데이터 손실 위험을 줄여라. editor@itworld.co.kr


X