코로나19 사태를 악용하는 8가지 방법과 원격 작업을 위한 보안 우선순위

CSO
사이버공격자들은 이미 코로나19 상황을 악용하고 있는데, 이에 대응해 조직은 직원들이 원격으로 안전하게 작업할 수 있도록 많은 조치를 취할 수 있다. 
 
ⓒ Getty Images Bank

공격자는 코로나19를 기회를 삼아 해당 주제의 이메일, 앱, 웹 사이트, 소셜미디어를 통해 악성코드를 유포하는 작업을 강화하고 있다. 이번 기사에서는 사이버범죄자가 조직을 공격하기 위해 사용하는 잠재적 위협 요소와 공격 방법에 대해 분석했다.
 

사이버범죄자가 코로나19 사태를 악용하는 방법 


1. 피싱 이메일 공격
이메일은 사람과 조직에 있어 가장 큰 위협 요소이며, 앞으로도 계속 그럴 것이다. 사이버범죄자는 공격 성공율을 높이기 위해 피싱 캠페인에 세계적인 사건을 사용해왔고, 코로나바이러스도 예외는 아니다.

디지털 섀도우(Digital Shadows)에 따르면, 바이러스 발생 지도로 위장한 이메일 첨부파일을 사용하는 코로나19 피싱 키트는 다크웹 시장에서 200~700달러 가격에 광고하고 있다. 

이 이메일의 주제는 특정 산업별 분석 보고서나 정부의 공식 건강 조언 세부사항에서부터 이 기간동안 마스크에 관한 정보를 제공하는 판매자에 이르기까지 다양하다. 이 이메일에 포함된 페이로드 또한 랜섬웨어 및 키로거에서 원격 액세스 트로이목마 및 정보 도용에 이르기까지 다양하다. 

프루프포인트(Proofpoint) 위협 연구 및 탐지 책임자 셰로드 드그리포는 “잠재적 피해자가 두려움을 갖고 클릭하도록 시도하는 많은 코로나19 악성 이메일 캠페인을 관찰한 결과, 범죄자는 한번에 수십 개에서 20만 개가 넘는 이메일을 보냈으며, 캠페인 수는 계속 증가하고 있다. 처음에는 전 세계에서 하루에 한번 캠페인을 보고 있었는데, 지금은 하루에 서너 번 관찰되는 상황이다”라고 말했다. 

드그리포는 프루프포인트 위협팀이 발견한 이메일의 약 70%는 지메일이나 오피스 365와 같은 가짜 랜딩 페이지를 통해 피해자의 자격 증명을 도용하려고 악성코드를 전달하고 있다고 말했다. 프루프포인트에 따르면, 코로나바이러스 관련 이메일 루트의 총 볼륨은 지금까지 관찰해 온 공격 유형 중 가장 크다. 

특히 WHO(World Health Organization)와 미국 NCSC(National Computer Security Center)는 공식 기관에서 온 것으로 알려진 사기성 이메일에 대해 공개적으로 경고했다. 미국 CDC(Centers for Disease Control and Prevention)에서 보낸 것으로 꾸민 다양한 피싱 이메일이 유포되고 있다. 

BAE 시스템즈 보고서에 따르면, 코로나19를 주제로 하는 이메일을 발송하는 사이버범죄자는 인도 정부를 표적으로 하는 트랜스페어런트 트라이브(Transparent Tribe, APT36이라고도 함), 러시아와 연관이 있는 샌드웜/올림픽데스트로이어(Sandworm/OlympicDestroyer), 가마레돈(Gamaredon) 그룹, 중국과 연계된 오퍼레이션 레그타임(Operation LagTime), 무스탕 팬더(Mustang Panda) 등이 있다. 

2. 악의적인 앱 위협 
애플이 앱 스토어에서 코로나19 관련 앱을 제한하고, 구글이 플레이스토어에서 일부 앱을 제거했지만, 악의적인 앱은 여전히 사용자에게 위협이 될 수 있다. 도메인툴즈(DomainTools)는 사용자에게 코로나19에 대한 추적 및 통계 정보를 제공하는 안드로이드 앱을 다운로드하도록 유도하는 사이트를 발견했다. 하지만 이 앱에는 현재 코비드락(COVIDLock)으로 알려진 안드로이드용 랜섬웨어가 탑재되어 있다. 몸값 메모에는 48시간 내에 100달러 상당의 비트코인을 요구하며, 연락처, 사진, 동영상은 물론 휴대 전화의 메모리를 지우겠다고 위협한다. 

도메인툴즈는 코비드락과 관련된 도메인이 이전에는 포르노 관련 악성코드를 배포하는 데 사용됐다고 보고했다. 도메인툴즈 수석 보안 엔지니어이자 악성코드 연구원 타릭 살레는 “이 캠페인의 오랜 역사를 보면, 코로나19 사기는 이 악성코드의 배후에 있는 이들의 새로운 모험이자 테스트임을 알 수 있다”라고 설명했다. 

또한 프루프포인트는 사용자가 컴퓨터 사용 능력을 SETI@Home에 기증하는 것처럼 코로나19 연구에 사용한다고 속여 비트버킷(Bitbucket)을 통해 전달되는 정보 도용용 악성코드를 전달하도록 요구하는 캠페인을 발견했다. 

3. 나쁜 도메인 확산 
새로운 웹 사이트가 코로나19 관련 정보를 전달하기 위해 빠르게 확산되고 있다. 그러나 이 사이트 가운데 다수는 의심의 여지가 없는 피해자를 위한 함정이기도 하다. 보고서에 따르면, 지난 수주동안 수백 개의 코로나19 관련 도메인이 매일 등록됐다. 체크포인트는 코로나19 관련 도메인이 같은 기간에 등록된 다른 도메인보다 악의적일 가능성이 50% 더 높다고 말했다. 

NCSC는 가짜 사이트가 미국 CDC를 사칭하고 CDC의 웹 주소와 유사한 도메인 주소를 만들어 “가짜 백신에 자금을 지원하기 위한 비밀번호와 비트코인 기부”를 요청하고 있다고 보고했다. 

리즌 시큐리티(Reason Security)와 멜웨어바이츠(Malwarebytes)는 악성코드를 뿌리는데 사용되는 코로나19 감염 지도를 발견했다고 보고했다. 이 사이트에는 자격 증명, 지불카드 번호, 쿠키 및 민감한 브라우저 기반 데이터를 훔쳐 C&C 서버로 유출하는 아조럴트(AZORult) 악성코드가 탑재되어 있었다. 또한 암호화폐 지갑을 찾고 허가받지 않은 스크린샷을 찍고 감염된 시스템에서 기기 정보를 수집할 수 있다.  

4. 안전하지 않은 엔드포인트 및 취약한 최종 사용자 
많은 수의 직원이나 전체 기업이 장기간 원격으로 작업함에 따라 엔드포인트 및 이를 사용하는 이들의 위험도 증가한다. 직원이 정기적으로 시스템을 업데이트하지 않으면 집에서 사용하는 기기는 더욱 취약해질 수밖에 없다. 

집에서 장기간 근무하면 사용자가 사무실에서 일반적으로 따를 수 있는 기기 정책에 섀도우 애플리케이션을 다운로드하도록 권장할 수 있다. 출장이 적을수록 직원이 국경에서 보안 문제를 겪을 가능성이 줄어들 수 있지만, 실제로는 집에 머물 경우에 안전하지 않는 와이파이 네트워크에 연결하거나 기기를 분실할 위험만 줄어 든다. 카페에서 일하기 위해 밖으로 나가는 사람은 아마도 기기를 도난 당하거나 분실하거나 중간자 공격(man-in-the-middle attacks)에 취약할 수 있다. 

국제정보기술자산관리협회(International Association of Information Technology Asset Managers)는 집으로 가져가는 모든 IT 자산을 서명하고 추적할 것을 권고하고, 기업이 가정에서 자산을 사용하는 방법에 대해 정책과 조언을 제공해야 한다(특히 사용자가 가족과 기기를 공유하는 데 익숙하다면 절실하다). 사용자에게 퍼블릭 무선 연결에 대한 정책을 상기시키고, 이를 실행할 것을 권고한다. 확실히 사용자는 자신의 필요에 따라 계속 업데이트한다.
  
5. 공급업체와 서드파티의 취약점 문제

생태계의 모든 파트너, 고객 및 서비스 제공업체는 모두 동일한 문제를 겪고 있을 것이다. 서드파티의 관련 부서과 연락해 원격 인력을 보호하기 위한 조치를 취하고 있는지 확인하라.  

6. 협업 애플리케이션과 재택근무 공략 
새로운 작업 방식은 공격자에게 기회를 제공한다. 원격 작업과 협업 도구에서 보안 부문이 크게 향상됐다. 줌(Zoom)의 인기가 급격히 높아짐에 따라 보안 관련 문제를 해결하기 위해 제품 개발을 중단하고 문제 해결에 중점을 두고 있다. 줌 부사장에 따르면, 공격자는 줌과 기타 협업 앱과 관련한 제로데이 악용에 대한 관심을 두고 있다. 

보안업체 싸이블은 다크웹에서 각각 1원 이하의 가격으로 50만 개가 넘는 줌 계정을 구매할 수 있었으며, 경우에 따라 무료로도 구매할 수 있다고 밝혔다. 이를 통해 크리덴셜 스터핑(credential stuffing) 공격의 위험과 공격자가 통화에 참여할 수 있다. 액세스 및 전화를 걸 수 있는 사람에 대한 정책이 잘못되면 '줌바밍(Zoombombing)'이라고 알려진 반갑지 않은 손님이 생길 수도 있다. 예를 들어, 파이낸셜 타임즈는 전화통화로 인해 인디펜던트(Independent)의 임금 삭감에 대한 민감한 정보를 유출했다. 

마찬가지로, 재택근무는 추가적인 위협을 초래한다. ICS2에 따르면, 23%의 조직이 원격 근무로 전환한 이후, 사이버보안 사고가 증가했다. 직원이 집에 전용 개인 작업 공간이 없는 경우, 룸메이트, 파트너, 또는 어린이가 회사 기기를 사용하거나 세부 정보를 보거나 들을 수 있는 위험이 증가한다. 뿐만 아니라 오래되고 안전하지 않은 개인용 기기가 기업 네트워크에 액세스할 가능성이 높아진다. 앱솔루트 소프트웨어(Absolute Software)에 따르면, 기업용 엔드포인트는 코로나19 이전 수준에 비해 패치 일정이 수 개월 지연된 것뿐만 아니라 중요 데이터 항목 수가 46%나 증가했다.
 
7. 의료 기관과 코로나19 감염 지역 공략 

해킹 집단들은 공격하지 않을 것이라고 약속했지만, 의료 기관은 여전히 많은 공격을 받고 있다. 대유행 초기 단계였을 때, 미국 IDPH(Illinois Department of Public Health) 웹사이트는 랜섬웨어에 피해를 입었고, 미국 HHS(Department of Health and Human Services)는 DDoS 공격을 받았다. 지난 수주동안 많은 의료 기관과 심지어 백신을 찾고 있는 연구 기관이 돈을 벌려는 범죄자나 장기적인 해결책을 찾기 위해 주력하는 국가 주도의 해커 집단에 의해 공격을 받았다.

기회주의적 범죄자나 운영을 중단시키려는 공격자들은 보건 및 의료 분야를 표적으로 할 가능성이 더 높다. 영국의 NCSC와 미국의 CISA는 APT 집단이 의료 기관, 제약업체, 학계, 의료 연구 기관, 지방 정부를 대상으로 대량 개인정보, 지적 재산권, 정보들을 수집하는 방법에 대응한 권고안을 발표했다. 

모든 형태, 규모의 의료 기관의 직원은 평소보다 더 많은 스트레스를 받을 가능성이 높으며, 이로 인해 평소보다 클릭하는 것이 더 느슨해질 수 있다. 의료 부문에 종사하거나 의료 서비스를 제공하는 CISO는 직원이 의심스러운 링크 및 문서에 주의하고 DDoS 공격에 대해 탄력성을 갖도록 해야 한다. 

또한 코로나19가 창궐한 지역일수록 공격자의 표적이 될 가능성이 높다. 비트디펜더의 연구에 따르면, 사이버 범죄자는 처음에는 3월 상당 기간 유럽을 공략하는 데 집중했었는데, 4월 미국에서 감염자 수가 증가함에 따라 사이버공격 또한 미국에 관심을 두고 있다.  

8. 향후 악영향에 대한 공포와 복구 지원에 대한 기대 악용 
마임캐스트(Mimecast)는 2020년 올림픽과 같은 다수의 대형 행사가 취소됨에 따라 향후 사이버 공격 활동이 악의적인 콘텐츠와의 상호 작용을 유도하기 위해 비용 회수의 유혹을 악용하는데 집중할 가능성이 높다고 예측했다. 

폐쇄가 풀리고 즉각적인 위험이 끝난 후에도 경제는 계속 어려움을 겪을 것이다. 사이버공격자는 개인에게 금융 구제와 금융, 산업에 대한 정부 지원, 기업의 정리해고, 급여 삭감을 중심으로 한 미끼 콘텐츠를 갖고 더 많은 캠페인을 실행할 것이다. 


규모에 맞는 원격 작업을 위한 보안 우선 순위  

비트디펜더 글로벌 사이버보안 연구원 리비우 아르센은 조직이 안전하고 안정적인 원격 작업을 보장하기 위해 다음과 같은 조치를 이행할 것을 권장했다. 
 
  • 모든 원격 직원을 수용할 수 있도록 동시 VPN 연결 수를 늘려라. 
  • 안정적인 음성과 비디오 연결을 보장하는 회의 소프트웨어를 설정하고 지원하라. 
  • 원격 근무 도중에 액티브 디렉토리(Active Directory) 자격 증명이 완료되면 변경하기 어려울 수 있으므로 모든 직원이 30일 이내에 만료되지 않는 유효한 자격 증명을 갖고 있는지 확인하라. 
  • 승인된 애플리케이션과 협업 플랫폼에 대한 규칙과 지침을 보내 직원이 승인 및 지원 대상과 그렇지 않은 대상을 알 수 있도록 한다. 
  • 모든 업데이트를 VPN 연결 직원에게 한 번에 제공하면 대역폭 정체가 발생하고 인바운드, 아웃바운드 트래픽에 영향을 줄 수 있으므로 업데이트 배포를 위한 점진적인 원격 설치 절차를 마련하라. editor@itworld.co.kr