보안

코로나19 표적 공격으로부터 사용자를 보호하기 위한 4가지 팁

Susan Bradley | CSO 2020.05.08
원격 사용자는 코로나 바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약하다. 이런 공격으로부터 사용자를 보호할 수 있는 기본적인 단계를 설명한다. 
 
ⓒ Getty Images Bank 
 
공격자들은 코로나19 위기를 악용해 사이버범죄를 저지르고 있는데, 가장 큰 위협은 코로나19와 관련한 피싱 공격이다. 또한 코로나19와 관련한 도메인 이름을 설정하고 피해자가 이를 클릭하도록 유도하고 있다. 

사이버 보안업체 아노말리(Anomali)는 최근 39개 서로 다른 악성코드 군을 배포하고 80개의 마이터어택(MITRE ATT&CK) 기술을 사용하는 11명의 위협 행위자와 관련된 15개의 코로나19 관련 캠페인을 식별한 보고서를 발표했다. 

2020년 1월, 복지 단체와 공공 보건 단체의 통보로 보이는 악성 이메일을 시작으로, 2월에는 원격 접속 트로이목마(Remote Access Trojans, RATS)를 포함하도록 변경됐다. 체크포인트(CheckPoint)는 3월에 사기성 코로나19 주제 도메인의 증가를 보고했다. 3월 중순, 연구진은 공격자가 존스홉킨스 코로나바이러스 지도를 모방하고 있다고 지적했다.  

최근 마이크로소프트는 자체적으로 모니터링하는 네트워크에서 몇 가지 주제의 공격 동향을 언급했다.
 
  • 모든 국가는 적어도 하나의 코로나19를 주제로 한 공격을 받고 있다. 중국, 미국, 러시아가 가장 많이 표적이 됐다. 
  • 트릭봇(TrickBot)과 이모텟(Emotet) 악성코드는 코로나19 위협을 이용하기 위해 재조합(rebundling)하고 리브랜딩(rebranding)해 다양한 미끼를 재사용하고 있다.
  • 약 6만 개의 이메일이 코로나19 관련 악성 첨부 파일이나 악성 URL을 포함한다.
  • 공격자는 피해자의 받은 편지함에 들어가기 위해 공식 조직을 사칭한다.
  • 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코로나19 주제 URL과 IP 주소를 추적했다. 
  • 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용해 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 
  • 공격자는 의료 기관을 표적으로 삼고 있어 마이크로소프트는 자체 어카운트가드(AccountGuard) 위협 알림 서비스를 의료 기관과 인권 및 인도주의 단체에 무료로 제공하고 있다.
 
미국 보안 업체 피시랩스(PhishLabs)는 사이버범죄자가 코로나19 관련 음성 메일 알림을 이용해 사용자를 속여 로그인하게 하고 자격 증명을 훔치고 있다고 밝혔다. 트러스트웨이브(Trustwave)는 코로나19를 주제로 한 BEC(Business Email Compromise) 사기가 증가하고 있다고 보고했다. 또한 영국의 NCSC(National Cyber Security Centre)는 공격자가 원격 접속 사용자와 댁내 사용자 진입 지점을 표적으로 삼고 있다고 밝혔다. 


코로나19 관련 공격으로부터 원격 직원 보호하기 

직원과 네트워크가 표적이 되지 않기 위해 어떤 조치를 취할 수 있을까? 

- 엔드포인트를 보호하라. 윈도우 10 E5 라이선스 또는 마이크로소프트 365 엔터프라이즈 라이선스 또는 서드파티 엔드포인트 보호 도구와 함께 제공되는 마이크로소프트 디펜더 ATP를 활성화하라.
 
- 온라인 익스체인지와 이메일에 다중 인증(Multi-factor Authentication, MFA) 사용하라. 마이크로소프트는 최근 코로나19가 조직에 미치는 영향으로 인해 기본 인증 기능을 비활성화했는데, 이는 좋지 않은 결정이다. 공격자는 오피스 365 대상의 POP, IMAP, 기본 인증을 얻기 위해 노력한다. 공격자는 피해자 네트워크에 침입하기 위해 비밀번호 분무 공격(Password Spray Attacks)과 비밀번호 재사용을 사용할 것이다. 
이것이 기본 인증이나 레거시 인증을 비활성화하고 최신 인증을 지원해야 하는 이유다. 또한 조건부 액세스 정책을 사용해 오래되고 취약한 인증 방법을 차단하라. 
이메일에 MFA를 사용하면 공격자가 조직에 대해 쉽게 공격할 수 없다. 사무실 위치의 고정 IP 주소에서 로그인하는 모든 사람에게 MFA 프롬프트가 표시되지 않도록 하는 규칙을 설정할 수 있다. 이 보호 기능은 공격자가 가장 많이 노리고 있는 원격 진입점에 초점을 맞춘다. 또한 조건부 액세스 규칙을 통해 로그인의 지리적인 제한을 추가해 네트워크를 좀 더 잘 보호하는 것도 고려하라.  

- 회사 사서함과 외부 환경 간 이메일 필터링 또는 위생 상태를 유지하라. 오피스 ATP든 다른 필터링 서비스든, 점점 더 커지는 공격 표면인 받은 편지함을 피싱 공격으로부터 보호해야 한다. 

- 조직에서 보고 배운 내용을 다른 방어자와 공유하라. 한 그룹의 보안 연구진은 코로나19 사이버 위협 연합의 기치 아래 위험과 위협을 공유하기 위해 함께 뭉쳤다. 매주 재점검을 검토하거나 슬랙 채널을 통해 가입해 정보와 리소스를 공유하라. 이 연합은 네트워크 방화벽 규칙에 사용할 수 있는 악성 도메인과 URL의 마스터 목록을 제공했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.