코로나19 사태 장기화가 사이버 보안 분야에도 영향을 미친다. 예전과 다른 형식의 보안위협이 등장하는 등 해커의 공격이 다양화한다.
옌스 몬래드 파이어아이 MEA 지역 맨디언트 위협 인텔리전스 책임자는 팟캐스트에서 "IT 관련 학과 출신 학생이 취업을 준비하면서 가욋일로 해킹 알바를 한다거나, 이른 퇴직을 한 전문가가 생계 수단으로 해킹을 택하는 것은 충분히 일어날 수 있다"고 말했다.
그는 "사이버 범죄 천국이라 불리는 다크웹에서 일감을 찾는 것은 어려운 일이 아니다"며 "악성 코드 작성, 경쟁 서비스 DDoS 공격 의뢰 등의 일이 많고, 직접 정보를 탈취한 경우 구매자도 쉽게 찾을 수 있다"고 언급했다.
몬래드는 디지털 세상에서 이루어지는 돈세탁에도 생계형 아르바이트생들이 동원될 수 있다고 우려했다.
제약사·의료기관 겨냥
코로나19로 백신에 대한 기대감이 커진 만큼 백신 연구를 노린 해킹도 급증했다. 주요 백신 연구 기관 및 제약 회사, 세계보건기구(WHO), 유럽의약청(EMA) 조직 및 관계자를 노린 위협이 줄을 이었다.
중국, 북한, 이란, 러시아의 지원을 받는 공격 그룹은 코로나19 백신과 치료제 관련 데이터 탈취에 열을 올렸다.
국내에서도 2020년 6월에는 대한의학회 홈페이지 내 문서에서 악성 코드가 발견됐다. 의료 관계자들 사이에 악성 코드를 퍼뜨려 의료기관, 제약사 등을 공격하려는 시도였다. 같은해 11월에는 셀트리온·제넥신·신풍제약 등 국내 제약사가 북한으로 추정되는 해킹 그룹에 공격을 당하기도 했다. 북한은 다국적 제약사 화이자에도 해킹 시도를 한 것으로 알려졌다.
2020년 12월 백신 유통망을 노린 해킹 공격 사례도 발견됐다. IBM은 해커들이 ‘콜드체인’으로 불리는 백신 냉동 보관 및 유통에 관여하는 각국 기업 또는 조직에서 임원들의 네트워크 자격증명을 훔치려 했다고 전했다. 해커들의 공격 대상이 된 것은 이탈리아, 독일, 한국, 체코, 유럽연합(EU), 대만의 관련 조직과 단체였다.
코로나19 이슈 활용 해킹메일 주의
보안업계는 코로나19의 장기화로 인해 원격 업무 환경과 인터넷 사용을 위한 기반 환경에 대한 위협은 고도화될 것으로 예상한다. 한국인터넷진흥원(KISA)은 2020년 4분기 사이버위협 동향보고서에서 단위 공격이 아닌 단체 또는 그룹을 대상으로 하는 넓은 범위에 영향을 미칠 수 있는 취약점과 위협이 증가할 것으로 전망했다.
실제로 공공기관이나 기업 또는 지인으로 가장하거나, 업무 메일(이력서, 연말정산, 연봉계약서 등등)로 위장해 열람을 유도해 해킹 사이트로 접속하게 하는 해킹 메일이 판을 친다.
해커들은 코로나19 이슈를 악용해 사람들이 관심 있어 할 내용(치료법, 확진자 동선, 재난지원금 관련 등)으로 열람을 유도해 악성 프로그램을 전산망에 심기도 한다.
KISA는 수신된 메일 주소가 정상적인 주소인지 확인해야 한다고 조언한다. 해킹 메일은 대중화된 메일 주소를 교묘하게 변경해 보내는 경우가 많기 때문이다. 예를 들어 네이버는 ‘naver.com.cc’, 구글은 ‘goog1e.com’, 다음은 ‘dauum.net’ 등 처럼 미세하게 바꾼다.
파일이 첨부돼 있거나 외부 링크가 걸려 있는 경우, 발신자에게 유선 및 문자 등으로 먼저 확인하고 개인정보나 계정인증관련 메일이 수신됐을 경우, 메일에 포함된 링크를 클릭하는 대신 직접 해당 사이트에 방문해서 확인하는 습관을 들여야 한다.
첨부파일 클릭 시 파일이 다운로드되지 않고 계정정보 입력을 요구하는 경우도 주의해야 한다. 이메일 계정 비밀번호를 수시로 변경하고, 문자(SMS), 모바일OTP 등을 통한 2단계 인증 로그인을 설정하는 것도 도움이 된다.
류은주 기자 riswell@chosunbiz.com