“‘코로나19’ 문서인 줄…” 팬데믹 틈타 사이버 공격 기승

“금전 탈취를 목표로 코로나19를 악용한 피싱 사례가 매달 급증하고 있다”

가 +
가 -

중국, 북한, 러시아 기반의 사이버 공격그룹들이 ‘코로나19’를 이용해 사이버 첩보활동을 하고 있다는 주장이 나왔다.

미국 보안 솔루션기업 파이어아이는 3월13일 인텔리전스 분석팀 시니어 매니저인 벤 리드(Ben Read)가 분석한 사이버 첩보활동 관련 정보를 공개했다.

이 회사는 특정한 개인들이나 회사를 대상으로 한 피싱(Phishing·개인정보와 낚시의 합성어) 공격 중에서도 공격자가 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 미리 수집, 분석해 피싱 공격을 수행하는 ‘스피어 피싱(Spear phishing)’이 최근 늘고 있다고 전했다.

일례로 중국의 사이버 공격그룹 ‘템프 헥스(TEMP.Hex)’는 지난달 말에서 이달 초 베트남·필리핀·대만 소재의 기업을 공격했다. 현지 정치인이 발표한 코로나19 관련 성명서, 안전수칙 등을 활용해 피싱 메시지를 구성했다. 템프 헥스는 2010년부터 동아시아 지역을 공격 대상으로 활동해 온 바 있다. 중국의 또 다른 사이버 공격그룹은 몽골을 표적으로 삼았다. 몽골 내 코로나19 감염 공식통계로 위장한 문서에 언더그라운드에서 쉽게 접할 수 있는 백도어 계열 악성코드인 ‘포이즌 아이비’를 심었다. 파이어아이는 “몽골 정부, 몽골 광산업 이익집단을 주요 표적으로 한 것으로 보인다”라고 전했다.

러시아 이익집단을 지원하는 사이버첩보그룹 ‘템프 아마게돈(TEMP.Armageddon)’은 우크라이나 조직에 코로나19 공식문서를 가짜 사본형태로 베껴 악성문서를 전송했다. 이 단체는 우크라이나를 지속적으로 공격해온 것으로 알려졌다.

북한도 코로나19를 이용한 스피어피싱에 가세한 것으로 보인다. 파이어아이는 국내 비정부기구(NGO)에 ‘코로나바이러스 대응’을 제목으로 한 스피어피싱 파일이 전송됐는데, 이를 분석한 결과 북한 공격그룹의 이전 활동과의 유사점이 발견됐다고 밝혔다.

파이어아이코리아 전수홍 지사장은 “금전 탈취를 목표로 코로나바이러스를 악용한 피싱 활동 사례가 지난 1월부터 매달 급격히 증가하고 있다”라며 “전세계가 코로나19에 큰 관심을 기울이고 있는 가운데, 이를 기회로 삼아 금전을 노리는 사이버 활동이 지속될 것으로 보인다”라고 분석했다.