코로나19 이슈 악용하는 금융사 대상 사이버공격 유형 분석

코로나19가 전세계적으로 유행하면서 사이버공간에서도 관련 위협이 지속되고 있다.

금융보안원이 분석한 결과, 지능형지속위협(APT) 그룹들을 포함해 많은 사이버범죄자들이 코로나19 이슈를 공격에 적극 이용하고 있다. 주로 사회공학적 기법인 피싱 공격이다. 코로나19 이용 공격은 주로 악성코드 유포, 피싱사이트 접속, 금융사기 실행, 악성 앱 유포를 통한 모바일 공격 형태로 발생하고 있다. APT 위협그룹들은 대부분 악성코드와 악성 앱을 이용한 공격을 시도했다.

김수키, 톤토, 코니, 마카오 4개의 APT 위협그룹이 국내를 대상으로 공격을 수행한 것으로 파악됐다. 김수키, 톤토, 코니 그룹은 악성코드가 첨부된 피싱메일을, 마카오 그룹은 스미싱을 통해 악성 앱을 유포해 정보탈취 등을 시도했다. 북한관련 주제로 스피어피싱 공격을 수행하는 코니그룹의 경우 코로나19 관련 마스크 사용을 권고하는 문서로 위장해 악성코드를 유포했다.

금융 부문의 경우, 현재까지 코로나19로 인한 심각한 위협 사례는 확인되지 않았다고 금융보안원은 분석했다. 3월 중순부터 4월까지 금융보안원 금융보안관제센터에서 탐지된 코로나19 키워드 포함 메일은 총 680만 건으로 그 중 1%에 해당하는 7만3000건이 악성의심 메일로 판단됐다. 이 중 90%는 마스크 판매로 위장한 피싱사이트 관련 메일이었다. 이밖에 세계보건기구(WHO)를 사칭한 가상통화 기부 요청 등 금융사기, 첨부파일을 이용하는 악성코드 유포 공격 등이 확인됐다.

악성 의심메일 발송 IP분석 결과 총 3827개 IP, 107개 국가에서 메일을 발송한 것으로 분석됐으며, 발송량이 많은 국가로는 터키(62%), 미국(10%) 순으로 나타났다.

3월부터 코로나19 관련 침해위협이 대폭 증가했으나 악성메일 발송기법이나 첨부된 악성코드 등은 기존에 비해 큰 변화는 없었다. 이는 기존 이메일 보안 체계로도 대응이 가능하다는 의미이지만, 더욱 효과적인 대응을 위해 이메일 보안설정을 강화할 필요도 있다. 또한 코로나19로 화상회의, 원격근무 등 근무환경이 변화함에 따라 정보보호 측면에서도 많은 위험이 있기 때문에 주의가 필요하다.

이같은 내용은 금융보안원이 최근 발간한 ‘코로나19 금융부문 사이버위협 동향 보고서’에 포함돼 있다.

김영기 금융보안원 원장은 “금번 보고서에서 분석한 사이버위협 및 탐지동향을 금융회사와 공유함으로써 금융권이 코로나 19를 악용한 사이버위협에 선제적인 대응을 할 수 있도록 적극 지원할 것”이라면서 “비대면의 언택트 세상 속에서 초연결 시대가 더욱 가속화되고, 사이버위협이 더욱 지능화·고도화 되는 등 향후 코로나19 뿐만 아니라 새로운 사이버 위협에 대해서도 금융권이 선제적으로 대응해 피해를 예방할 수 있도록 사이버위협 탐지·분석·정보공유 체계를 더욱 강화해 나갈 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network