글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)은 코로나 바이러스(COVID-19)에 대한 높은 관심을 악용하는 사이버 위협 사례가 증가하고 있다고 밝혔다.

팔로알토 네트웍스 사이버 보안 위협 연구기관 유닛42(Unit 42) 조사에 따르면, 코로나 관련 사이버 공격들의 경우 특별한 기술을 사용하는 것이 아니라 사람들이 위기에 대응하는 행동 양식에 일어난 변화를 악용하고 있다.

가장 보편적인 방법은 코로나 정보에 대한 관심이 높은 점을 이용해 이메일에 첨부된 악성 파일을 열거나 피싱 링크를 클릭하도록 유인하는 수법이다. 이메일 제목에 코로나, COVID-19 등 관련 키워드를 넣고 NetWire, NanoCore, LokiBot 등의 원격 관리 툴(RAT, Remote Administration Tool) 및 기타 멀웨어를 심는 것이다.

유닛42는 제목에 ‘코로나 바이러스 업데이트,’ ‘유니세프의 COVID-19 팁’ 등의 문구가 들어있거나, 첨부 파일명이 ‘CORONA VIRUS1,’ ‘코로나 감염자 명단’ 등으로 되어 있으면 각별히 주의할 것을 권고하며, 앞으로도 감염병 확산 동향에 맞춰 키워드는 계속해서 변화할 것이라고 전망했다. 코로나 바이러스와 더불어 세금계산서, 인보이스, 송장 등의 키워드를 사용한 공격도 꾸준한 것으로 나타났다.

공격자들은 많은 사람들이 코로나 바이러스가 어떤 영향을 미치는지, 어떻게 하면 더 안전할 수 있는지에 대한 정보를 찾고 있는 점을 악용해 바이러스 정보를 제공하는 어플로 위장한 애플리케이션을 배포하고 있다. 안드로이드 사용자의 경우 구글 플레이스토어 외에 신뢰할 수 없는 출처의 애플리케이션은 설치하지 않아야 하며, 아이폰의 경우 탈옥을 통해 외부 출처 앱을 설치하지 않도록 주의해야 한다.

이미지제공=게티이미지뱅크
이미지제공=게티이미지뱅크

최근 몇 주 동안 등록된 도메인 중 ‘covid,’ ‘virus,’ ‘corona’를 포함한 도메인이 10만건이 넘는 것으로 확인됐다. 유닛42는 이러한 도메인 전체가 악의적인 의도를 가진 것은 아니지만, 코로나 관련 키워드가 포함되어 있는 경우 언제든 경계를 늦춰서는 안된다고 권고했다. 이러한 사이트에서 정보를 가지고 있다거나, 테스트 키트 혹은 치료제를 보유하고 있다고 주장하더라도 코로나 팬데믹 이전에는 이러한 사이트가 존재하지 않았다는 사실을 잊지 말아야 하고 항상 경계해야 한다.

유닛42는 일반적으로 권장되는 보안 최적화 사례가 코로나 관련 위협에도 동일하게 적용되고 있으며, 링크를 클릭하거나 첨부파일을 오픈한 사용자들을 추적할 수 있는 솔루션이 필요하다고 했다. 팔로알토 네트웍스의 제품 및 서비스들이 코로나 관련 테마 위협을 방어하고 있으며, ‘보안 최적성 점검’ (Best Practice Assessment)으로 보안 전략을 개선을 위해 구성 변경의 확인과 PAN-DB URL Filtering 기능을 사용하여 최근 32일 이내에 등록된 도메인을 차단한다. 모든 신규 등록 도메인이 악성인 것은 아니지만 악성 공격의 피해를 예방할 수 있기 때문이다.

유닛42는 코로나 바이러스 관련 사이버 위협을 지속적으로 모니터링 하고 블로그에 지속적으로 업데이트할 계획이다.

이향선기자 hslee@nextdaily.co.kr

저작권자 © 넥스트데일리 무단전재 및 재배포 금지