최근 특정 언론사 기자를 대상으로 한 e메일 피싱 공격이 발견됐다. 공격자는 언론사 공식 메일 대신 국내 포털업체에서 제공하는 무료 도메인을 표적으로 삼았다. 12일 보안기업 이스트시큐리티에 따르면 지난 11일 특정 언론사 기자를 상대로 한 e메일 피싱 공격이 확인됐다. 공격자는 일반 메일 계정에 오류가 있는 것처럼 조작한 허위 문구로 현혹한 후 문제 해결을 위해 링크를 클릭하도록 유도했다. 해당 주소를 클릭하면 e메일 이용약관 동의와 본인 확인 요청에 따라 발송한 것처럼 정교하게 꾸민 가짜 웹페이지로 연결된다. 이용자가 로그인 아이디와 암호를 정확히 입력할 경우 계정 정보가 탈취된다. 이스트시큐리티 시큐리티대응센터(ESRC)가 공격에 사용된 피싱 서버를 분석한 결과 'never.com[.]ru'와 'naver[.]pm' 등 2개 도메인이 사용된 것을 확인했다. 이 주소는...

신종 코로나바이러스 감염증(코로나19)으로 인한 원격 재택근무가 늘어나는 가운데, 대다수 직장인이 업무 관련 문서를 그냥 저장하거나 백신 프로그램을 설치하지 않는 등 보안 의식은 낮다는 조사 결과가 나왔다. 이스트시큐리티는 7월 '정보보호의 달'을 맞아 진행한 '원격근무 보안 관리 실태조사' 결과를 13일 공개했다. 지난달 25일부터 이달 2일까지 진행된 설문조사에 따르면 원격근무 경험 직장인 6105명을 중 원격근무를 위해 스마트폰·태블릿 등 개인 소유 기기를 업무에 사용하는 응답자가 65.1%로 집계됐다. 18.3%는 개인 기기와 회사 소유 기기를 동시에 썼고, 회사 보유 기기를 사용한 응답자는 16.5%로 나타났다. 원격근무가 활성화되며 보안에 취약한 개인 기기를 통해 주요 업무 자료에 접근하는 것이 보편화했지만, 개인의 보안 의식과 보안 수칙 준수 상황은 여전히 낮은...

보안 전문 기업 이스트시큐리티는 '국민 건강 검진 통지'·'코로나19 재난지원금' 안내 문자를 사칭한 스미싱 공격이 유포되고 있어 8일 주의를 당부했다. 해당 스미싱은 국민 건강 검진 통지 안내를 사칭한 문자메시지를 발송하고 첨부된 악성 URL 접속을 유도하는 형태를 띠고 있다. URL을 클릭하면 해외 클라우드 저장소에 저장된 악성 앱을 다운로드하도록 유인한다. 이스트시큐리티 시큐리티 대응센터(이하 ESRC)에 따르면 해당 악성 앱을 설치하면 안드로이드 OS 기반 스마트폰에 '구글플레이' 아이콘으로 위장된 앱이 나타난다. 이 악성 앱은 사용자 모르게 작동하며 감염된 스마트폰에 수신되는 SMS를 탈취, 공격자에게 전달한다. 악성 앱은 정보 탈취 외 다른 행위를 하지는 않지만, 공격자가 수집한 SMS 정보를 활용한 2차 공격이 발생할 수 있기 때문에 주의가 요구된다....

시력 보호 프로그램을 빙자한 악성 파일이 기승을 부리고 있다. 지난 22일 올라온 게시물을 1600명이나 조회했다. 글로벌 해커 조직으로 미국 재무부 제재 대상에 오른 ‘라자루스(Lazarus)’의 소행으로 보인다. 통합보안 기업 이스트시큐리티는 국내 한 인터넷 포럼 자료실에 시력 보호 프로그램을 사칭한 악성 파일 게시물이 불특정 다수에 무차별로 유포됐다고 23일 밝혔다. 이스트시큐리티에 따르면 해당 악성 파일이 포함된 게시물은 ‘눈 보호 프로그램’이란 이름으로 지난 22일 오전 8시 49분 등록돼 약 1600명이 조회했다. 23일 현재 해당 게시물은 지워진 상태다. 이 악성 파일은 기존의 정상 프로그램에 악성코드를 삽입하는 식으로 임의 변조됐다. 파일이 설치·삭제될 때 악성코드가 사용자 모르게 작동되는 형태다. 이 프로그램을 다운로드해 실행한 컴퓨터는 향후 잠재적 사이버...

최근 중국인으로 추정되는 지능형 지속 위협(APT) 그룹이 한국 특정 온라인 게임사 및 언론사를 대상으로 '스피어 피싱' 공격을 한 정황이 다수 포착됐다. 20일 보안업체 이스트시큐리티에 따르면 지난 4월부터 최근까지 외부에 공개된 한국 언론·게임사 그룹메일 계정을 대상으로 한 중국 APT 그룹의 공격이 급증했다. 관련 해커들은 수신자가 쉽게 현혹될 만한 워드파일 문서를 사용했다. 주로 '직원 활동 보너스 신청서.docx', '직무 요구와 대우.docx' 등의 파일명을 사용한 것으로 확인됐다. 최근에는 회사 내부 사내 문서 및 이력서로 위장한 파일을 배포한 것으로 알려졌다. 이스트시큐리티 대응센터(ESRC)는 악성 파일 대부분이 중국어를 기반으로 작성됐고 문서 제작자가 'coin***'이라는 동일 이름을 사용한 것이 특징이라고 밝혔다. 발견된 악성 문서는 처음 실행한 후 개인 정보...

이스트시큐리티 시큐리티대응센터(ESRC)가 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어, 각별한 주의와 보안 강화가 필요하다고 강조했다. ESRC는 이번 공격이 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 밝혔다. 첨부파일에는 'e-ticket 확인증_(랜덤숫자).iso' 파일명의 압축파일을 첨부했다. 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도한다. 'e-ticket 확인증_66016630.pdf.scr' 파일은 닷넷 기반으로 제작된 악성코드다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행한다. 사용자가 파일 확인을 위해 압축 파일을 해제하는 순간 악성파일을 내려받게 된다.  ‘e-Ticket 확인증_95291015.iso’ 파일 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타나면서 컴퓨터를 감염시킨다. 이메일에 첨부됐던...

한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 발견됐다. 이스트시큐리티는 한국인 개발자가 제작한 것으로 보이는 새로운 형태의 랜섬웨어가 발견됐다고 11월13일 밝혔다. 새롭게 발견된 랜섬웨어는 해외에서 교육용으로 공개된 오픈소스 랜섬웨어인 '히든 티어'를 활용해 닷넷 기반으로 제작된 것으로 보인다. 제작자가 '블랙리스트CP'(BlackListCP)라고 명명한 이 랜섬웨어는 금전 갈취를 목적으로 하는 기존 랜섬웨어와 달리 비트코인 등을 요구하지 않는다. 하지만 문서, 사진 등 PC에 저장된 파일을 암호화시키는 악성 동작은 다른 랜섬웨어와 똑같이 수행한다. 해당 랜섬웨어는 사용자의 착각을 불러일으키기 위해 PDF 문서 아이콘으로 위장하고 있다. 하지만 실제로는 윈도우 OS 실행 파일인 'EXE' 확장자를 가지고 있으며, 사용자가 아이콘을 실행하면 DOC, PPTX 등 흔히 사용되는 158종의 확장자를 가진 파일을 암호화시킨다. 또...

글로벌 배송 업체 페덱스(FedEx) 배송팀을 사칭한 랜섬웨어의 일종 ‘오토크립터’가 국내에 다량 유포되고 있다. 이스트시큐리티는 5월26일 페덱스 해외 배송 안내 이메일로 위장한 오토크립터가 급속도로 확산되고 있어 주의가 필요하다고 발표했다. 이스트시큐리티가 발견한 이메일은 ‘leemoonjung1211@gmail.com’이라는 계정이다. ‘FedEx Support Team’을 사칭해 피해자들에게 발송됐다. 해당 이메일의 본문에는 ‘고객님의 물품을 부득이하게 전달해드릴 수 없으니 첨부된 영수증과 배송장을 출력해 가까운 FedEx 사무실에 방문해 물품을 전달받으라’는 내용이 있어 마치 일반적인 배송 물품 안내처럼 위장됐다. 이 이메일은 수신자가 이메일에 첨부된 첨부파일을 실행하도록 위장한다. 이메일에 첨부된 압축파일 ‘HBDIN_386572.egg’ 내부에는 바로가기 파일로 위장한 ‘배송장.jpg’, ‘영수증.jpg’ 파일과 '페덱스지점안내.doc’이라는 문서 파일 확장자로 위장한 랜섬웨어 기능의 실행파일(.exe)로 구성돼 있다. 수신자가 이미지(.jpg) 파일로 위장된 바로가기...

‘워너크라이(WannaCry)’ 랜섬웨어 공격은 북한 소행일까? 단숨에 전세계 150여개국 수십만대의 컴퓨터를 감염시켜 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 공격 배후세력으로 북한이 지목됐다. 구글, 카스퍼스키랩, 시만텍 등 글로벌 업체들과 국내 보안 전문가들은 기존에 북한이 사이버공격에 사용한 것으로 분석된 악성코드와 공격 방식이 유사하거나 연관성이 있다는 점을 들어 북한 배후 가능성을 잇달아 제기하고 있다. 하지만 대부분 ‘워너크라이’ 공격 주체나 배후세력을 추적할 실마리에 해당하는 연관성이 발견됐다는 것을 전제로 달면서 추가 조사가 필요하다고 언급하고 있다. 파이어아이를 비롯해 국내 보안업계 일각에서는 유사성이 충분치 않고 객관적 근거도 부족하다는 이유로 현 시점에서 공격 주체나 배후세력을 단정짓는 것은 시기상조라고 선을 그었다. 북한 소행이라는 여러 정황과 증거가 충분하다는 국내 사이버위협 전문가도 있는...

전세계를 강타한 ‘워너크라이(WannaCry)’ 랜섬웨어 국내 감염 피해 확산을 방지하기 위해 정부와 민간 보안기업들이 공조해 분주한 대응을 이어나가고 있다. 지난 5월12일부터 해외에서 확산돼 100여개국에 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 감염 확산을 방지하기 위해 13일부터 한국인터넷진흥원(KISA)과 미래창조과학부는 잇단 보안공지를 내놓고 주의 권고와 윈도우 보안 패치, 백신 업데이트 등 피해예방법을 내놨다. 14일에는 랜섬웨어 방지 대국민 행동 요령을 배포하기도 했다. 북한의 미사일 발사와 랜섬웨어 공격이 맞물리면서 정부는 14일 오후 6시부로 국가 사이버위기 경보단계를 ‘관심’에서 ‘주의’로 상향 조정했다. 청와대도 직접 나섰다. 윤영찬 국민소통수석은 15일 청와대 춘추관에서 브리핑을 열고 “랜섬웨어 초동 대응과 피해 확산 방지를 위해 국가안보실이 각 정부 관련부처에 여러 조치와 지시를 내렸다”고 밝혔다. 윤...