신종 코로나바이러스 감염증(코로나19) 확산으로 원격 근무와 온라인 개학이 진행되고 있는 가운데 이를 노린 해커들의 공격 사례가 이어지고 있다. 마스크, 협업도구 등 코로나19와 관련해 높은 관심을 받는 주제를 이용한 악성메일 공격이 늘어나고 있다. ‘사회적 거리두기’로 인기를 끌고 있는 게임기기 판매 사이트로 위장해 정보를 빼내는 공격도 발견됐다.
○코로나19 불안심리 노려
해킹 공격은 올해 들어 급증하는 추세다. SK인포섹이 자사 보안관제센터인 ‘시큐디움 센터’에서 올해 1분기 탐지한 사이버 공격 건수는 총 170만 건이다. 1월부터 3월까지 월 평균 58만 건의 공격을 탐지하고 차단했는데, 작년 1분기 평균치인 48만 건보다 약 21% 늘어났다.
코로나19 불안심리를 노리는 악성메일 공격이 많았다. SK인포섹 관계자는 “미국 백악관이 지난달 31일 10만~20만 명의 사망 가능성을 언급한 이후 시큐디움 센터가 탐지한 메일 공격이 급증했다”고 말했다.
사람들의 관심이 쏠리는 마스크 관련 정보로 위장한 악성 문서가 대표 사례다. 이스트시큐리티에 따르면 ‘가이던스(guidance)’라는 제목의 문서를 열고 상단의 ‘콘텐츠 사용’ 버튼을 누르면 마스크 관련 정보가 보이는데, 이와 동시에 공격자가 심어둔 악성 매크로 코드가 동작해 사용자 정보를 탈취해간다.
코로나19를 활용한 공격은 갈수록 정교해지고 있다. 방역당국을 사칭한 악성 이메일도 탐지됐다. 이스트시큐리티가 탐지한 악성 메일은 ‘인천광역시 코로나바이러스 대응’이라는 제목으로 유포되고 있고 메일 주소도 ‘icdc@icdc.incheon.kr’로 적혀 있다. 이 문서를 실행하면 백도어(backdoor) 등의 각종 악성파일이 사용자의 PC에 설치된다.
○온라인 개학·사회적 거리두기 이용
온라인 개학을 노린 공격도 발견된다. 안랩에 따르면 검색사이트에 ‘구글 클래스룸’ ‘웹캠 드라이버’ 등 원격수업과 관련된 검색어를 입력하면 파일 다운로드를 위장한 피싱 사이트가 노출된다. 사용자가 피싱 사이트에 접속해 압축파일을 내려받고 실행하면 블루크랩 랜섬웨어에 감염된다.
사회적 거리두기에 따라 여가시간을 집에서 보내는 사람이 늘어나면서 인기 게임기의 판매사이트를 위장한 피싱 공격도 발생하고 있다. 안랩은 ‘닌텐도 스위치 모여봐요 동물의 숲 에디션’ 중고제품 판매를 위장한 피싱 사이트 공격을 최근 탐지했다. 실제 온라인 중고거래 카페의 판매 페이지와 구분이 어려울 정도로 유사하게 제작됐다.
보안 전문가들은 해킹 공격을 예방하기 위해선 의심 가는 메일이나 인터넷 주소(URL)를 열어보지 않는 등 기본적인 수칙을 지키는 게 중요하다고 조언한다. 비밀번호를 자주 변경하는 것도 필수 조치다.
보안업계 관계자는 “해커들도 공격의 ‘가성비’를 따지기 때문에 보안수칙을 지키지 않는 사람들이 1순위 타깃”이라며 “코로나19로 해킹 공격이 급증하는 만큼 개인과 단체의 정보를 지키기 위해 경각심을 가져야 한다”고 말했다.
최한종 기자 onebell@hankyung.com
관련뉴스