글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)는 자사 사이버 보안 위협 연구기관 유닛42(Unit 42) 조사를 인용해 코로나 바이러스(COVID-19)에 대한 높은 관심을 악용하는 사이버 위협 사례가 증가하고 있다고 13일 밝혔다.

유닛42는 코로나 관련 사이버 공격들이 특별한 기술을 사용하는 것이 아니라 사람들이 위기에 대응하는 행동 양식에 일어난 변화를 악용하고 있다고 설명했다. 

코로나 관련 피싱·멀웨어 배포

일단 이메일 제목에 '코로나', 'COVID-19' 등이 있다면 주의하는 게 좋다. 해커들은 코로나 정보에 대한 관심이 높은 점을 이용해 이메일에 첨부된 악성 파일을 열거나 피싱 링크를 클릭하도록 유인한다. 이메일 제목에 코로나, COVID-19 등 관련 키워드를 넣고 NetWire, NanoCore, LokiBot 등의 원격 관리 툴(RAT, Remote Administration Tool) 및 기타 멀웨어를 심는 것이다.

유닛42는 제목에 ‘코로나 바이러스 업데이트,’ ‘유니세프의 COVID-19 팁’ 등의 문구가 들어있거나 첨부 파일명이 ‘CORONA VIRUS1,’ ‘코로나 감염자 명단’ 등이면 각별히 주의할 것을 권고했다. 또 앞으로도 감염병 확산 동향에 맞춰 키워드는 계속해서 변화할 것이라고 전망했다. 코로나 바이러스와 더불어 세금계산서, 인보이스, 송장 등의 키워드를 사용한 공격도 꾸준히 이어지고 있는 것으로 나타났다.

페이크 애플리케이션

공격자들은 많은 사람들이 코로나 바이러스가 어떤 영향을 미치는지, 어떻게 하면 더 안전할 수 있는지에 대한 정보를 찾고 있다는 점을 악용해 바이러스 정보를 제공하는 애플리케이션으로 위장한 앱을 배포하고 있다. 안드로이드 사용자는 구글 플레이스토어 외에 신뢰할 수 없는 출처의 앱을 설치하지 말고, 아이폰 사용자는 탈옥을 통해 외부 출처 앱을 설치하지 않도록 주의해야 한다.

코로나 관련 도메인 네임

최근 몇 주 동안 등록된 도메인 중 ‘covid,’ ‘virus,’ ‘corona’를 포함한 도메인이 10만건이 넘는 것으로 확인됐다. 유닛42는 이러한 도메인 전체가 악의적인 의도를 가진 것은 아니지만, 코로나 관련 키워드가 포함되어 있는 경우 언제든 경계를 늦춰서는 안된다고 권고했다. 이러한 사이트에서 정보를 가지고 있다거나, 테스트 키트 혹은 치료제를 보유하고 있다고 주장하더라도 코로나 팬데믹 이전에는 이러한 사이트가 존재하지 않았다는 사실을 잊지 말고, 회의적인 입장을 유지해야 한다고 조언했다.

유닛42는 일반적으로 권장되는 보안 최적화 사례가 이러한 코로나 관련 위협에도 동일하게 적용된다고 조언하며, 링크를 클릭하거나 첨부파일을 오픈한 사용자들을 추적하도록 설계된 팔로알토 네트웍스의 제품 및 서비스들이 코로나 관련 테마의 위협을 방어하는데 효과적이라고 밝혔다. 이와 함께 ‘보안 최적성 점검’ (Best Practice Assessment)을 통해 보안 전략을 개선할 수 있도록 구성을 변경해야 할 곳이 있는지 확인해야 하며, PAN-DB URL Filtering 기능을 사용하여 최근 32일 이내에 등록된 도메인을 차단하는 기능을 사용하는 것도 도움이 된다고 덧붙였다. 모든 신규 등록 도메인이 악성인 것은 아니지만 사용자가 악성 공격의 피해를 입는 것으로부터 보호할 수 있기 때문이다.

유닛42는 코로나 바이러스 관련 사이버 위협을 지속적으로 모니터링 하고 블로그에 지속적으로 업데이트할 계획이다.

저작권자 © 파이브에코(FIVE ECOs) 무단전재 및 재배포 금지