신종 코로나바이러스 감염증(코로나19)을 둘러싼 사회 관심을 악용한 사이버 공격이 기승을 부린다. 이번엔 정부 기관을 사칭한 메일로 악성 파일 유포를 노렸다. 보안 업계는 코로나19 관련 메일을 살필 때 첨부 파일 열람에 신중해야 한다고 조언한다.
보안 기업 이스트시큐리티는 인천광역시 감염병관리지원단을 사칭해 악성 파일을 유포하는 이메일 공격을 발견했다고 1일 밝혔다. 해당 공격은 전형적인 스피어피싱이다. 스피어 피싱은 악성코드나 링크가 담긴 파일을 이메일에 첨부해 표적 대상에 발송하는 사이버 공격이다.
이메일에는 "인천시청 데이터센터 앞 인도에서 열린 집회에 코로나19 확진자가 있었다"며 "귀하(메일 수신자)가 이 집회에 참석했다는 신고가 들어왔다"고 했다. 이어 "그날 행적을 첨부 파일 양식대로 작성해 이메일로 제출하라"는 내용도 덧붙였다. 첨부 파일 실행을 유도하기 위해서다.
만약 메일 수신자가 첨부된 한글(HWP) 파일을 실행하면 수신자 PC에 악성코드가 작동한다. 사이버 공격자는 해당 악성코드로 PC 파일과 폴더 정보를 수집해 추가 다운로드 명령을 내린다. 백도어 등 각종 악성 파일을 몰래 설치해 추가 범행을 벌이기 위해서다. 백도어란 서비스 관리자 혹은 제공자가 관리상의 이유로 남긴 고의적인 보안 허점이다. 서비스 중심부에 접근하도록 만든 통로다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격이 지능형지속위협(APT) 조직인 ‘라자루스(Lazarus)’ 소행일 것으로 내다 봤다. 라자루스는 미국 정부와 글로벌 보안 업계가 북한이 배후에 있다고 여기는 해커 집단이다. 2019년 미국 재무부가 제재 대상으로 지정했다.
문종현 ESRC 센터장은 "최근 코로나19 방역 활동이 확진자와 접촉자 동선을 중심으로 이뤄지다 보니 (해당 내용을 토대로) 국가기관 사칭 이메일이 성행한다"며 "코로나19 관련 이메일 수신 시 첨부 파일 열람에 특히 주의를 기울여야 한다"고 당부했다.