글로벌 보안기업 팔로알토 네트웍스(Palo Alto Networks, 이하 팔로알토)가 코로나19 관심을 악용하는 사이버 위협에 대한 주의를 당부했다.
팔로알토 연구기관 유닛42(Unit 42)은 최근 코로나에 대한 대중의 관심을 악용하는 사이버 위협 사례가 증가하고 있다며, 관련 공격들의 경우 특별한 기술을 사용하는 것이 아닌 위기 대응 행동 양식에 일어난 변화를 악용하고 있다고 설명했다.
■ 코로나 정보로 위장한 피싱 이메일
우선 가장 보편적으로 나타나는 사이버 공격은 코로나 관련 정보로 위장한 이메일에 첨부된 악성 파일을 열거나, 피싱 링크를 클릭하도록 유인하는 수법이다.
공격자들은 이메일 제목에 코로나 관련 키워드를 넣어, 이를 실행하는 이용자들의 PC에 NetWire, NanoCore, LokiBot 등의 원격 관리 툴(RAT, Remote Administration Tool) 등의 멀웨어를 심는다.
유닛42는 제목에 ‘코로나 바이러스 업데이트,’ ‘유니세프의 COVID-19 팁’ 등의 문구가 들어있거나, 첨부 파일명이 ‘CORONA VIRUS1,’ ‘코로나 감염자 명단’ 등으로 되어 있으면 각별히 주의할 것을 권고했다.
또한 앞으로도 감염병 확산 동향에 맞춰 키워드는 계속해서 변화할 것이라고 전망했으며, 이와 더불어 세금계산서, 인보이스, 송장 등의 키워드를 사용한 공격도 꾸준히 이어지고 있다고 밝혔다.
■ 가짜 애플리케이션 공격
최근 많은 사람들이 코로나 바이러스가 어떤 영향을 미치는지, 어떻게 하면 더 안전할 수 있는지 등의 관련 정보를 찾고 있다. 공격자들은 이점을 악용해 바이러스 정보를 제공하는 애플리케이션으로 위장한 프로그램을 배포하고 있다.
유닛42는 안드로이드 사용자의 경우 구글 플레이스토어 외 신뢰할 수 없는 출처의 애플리케이션은 설치하지 않아야 하며, 아이폰의 경우 탈옥을 통해 외부 출처 앱을 설치하지 않도록 주의해야 한다고 전했다.
■ 코로나 키워드를 사용한 도메인
최근 등록된 도메인 중 ‘covid,’ ‘virus,’ ‘corona’를 포함한 도메인이 10만건이 넘는다고 밝혔다. 유닛42는 이러한 도메인이 모두 사이버 공격과 관련된 것은 아니지만, 관련 키워드들이 포함된 도메인에 대한 각별한 주의가 필요하다고 밝혔다.
아울러 이러한 사이트에서 테스트 키트 혹은 치료제에 관한 정보를 발견해도, 코로나 팬데믹 이전에는 해당 사이트가 존재하지 않았다는 사실을 유념하고 특히 조심해야 할 필요가 있다.
■ 예방은 어떻게?
유닛42는 팔로알토 네트웍스의 제품과 같이 링크를 클릭하거나 첨부파일을 오픈한 사용자들을 추적하도록 설계된 및 서비스들이 코로나 관련 위협을 방어하는데 효과적이라고 전했다.
특히 ‘보안 최적성 점검’ (Best Practice Assessment)을 통해 보안 전략을 개선할 수 있도록 구성을 변경해야 할 곳이 있는지 확인해야 하며, 최근 32일 이내에 등록된 도메인을 차단하는 기능을 사용하는 것도 도움이 된다고 강조했다.
