코로나19의 위기상황을 이용한 온라인 해킹이 성행하고 있다. 특히 재택근무, 화상회의, 온라인 교육이 활성화되면서 화상회의 솔루션을 대상으로 한 공격 기법이 다양해지고 있다. 이밖에도 악성코드, 피싱사이트, 금융사기, 가짜 앱 등이 성행하며 사이버 안전을 위협하고 있다.

조상헌 네이버 정보보호최고책임자(CISO)는 지난 16일 온라인으로 진행된 ‘제26회 정보통신망 정보보호 컨퍼런스(NetSec-KR) 2020’에서 “사회적 이슈는 사회공학적 해킹 기법으로 빠르게 진화한다. 기존의 사이버 공격에 대한 탐지대응 체계는 약화될 수 있다”며 “언택트 비즈니스의 한계를 악용한 사이버 범죄가 급증하고 있다”고 전했다.

실제로 올 1분기 디도스(DDos) 공격 규모는 전년 동기대비 80% 이상 늘었다. 대부분 코로나19로 사용이 증가한 의료 관련 기관 웹사이트, 배달 서비스, 원격 교육플랫폼 등에 대한 공격으로 나타났다. 또 재택근무, 온라인 교육이 늘어나면서 가상사설망(VPN) 게이트웨이에 대한 공격 가능성도 우려된다.

재택근무·화상회의 증가로 해커 공격 집중

재택근무 시 가상사설망(VPN)을 잘못 설정하거나 소프트웨어(SW) 업데이트를 하지 않을 경우 보안 위협은 더 높아진다. 무엇보다 회사와 같은 근무환경을 마련하기 어려워, 카페나 도서관 등 공공 환경에서 업무를 수행하면 보안 위협에 노출되기 마련이다.

화상회의에 대한 보안 위협도 유의해야 한다. 화상회의 입장을 위한 링크를 공식 사이트가 아닌 블로그나 카페 등에서 다운로드 할 경우 공격 위협이 있다. 또 화상회의 내용이나, 캡쳐, 공유자료 등 중요한 데이터에 대한 유출 가능성도 있다.

조 CISO는 “많은 기업들이 화상회의 때, 카메라와 마이크를 꺼둔다. 그러나 화상회의를 시작할 때 얼굴이나 목소리를 통해 구성원이 맞는지 확인해야 한다”며 “중요한 내용을 논의할 때 회의 내용 캡쳐되거나 공유되는 점에 대한 대책을 세워야 한다”고 당부했다.

딥페이크와의 결합 가능성에 대해서도 언급했다. 딥페이크 기술은 딥러닝, 인공지능(AI) 기술로 특정 인물의 얼굴이나 목소리를 악용해 가짜 사진, 음성, 동영상을 만들어내는 것을 말한다. 화상회의 동영상에 딥페이크가 악용될 가능성도 배제할 수 없다.

이를 대비하기 위해 조 CISO는 화상회의 보안 업데이트, 비밀번호 필수 사용, 회의 참여 웹 주소와 비밀번호 외부 공개 금지, 회의방 잠금 기능 사용 등을 당부했다.

코로나19(COVID19) 키워드 악용 공격 위협 증가

코로나19 키워드를 활용한 피싱 메일 공격, 스미싱 공격, 악성코드 악성앱 유포 등이 활성화되고 있다. 이러한 공격은 올 1분기에 전 분기 대비 36% 증가했다.

공격 수법은 다양하다. 코로나19 접촉자 신분 정보 확인, 마스크 무료 공급, 코로나로 인한 배송지연, 긴급지원금 사칭 상품권 등을 명목으로 악성코드 혹은 앱을 설치하도록 URL을 삽입해 문자를 보내는 공격도 있다.

조 CISO는 “공격자가 보내는 가짜 앱을 설치하거나 링크에 들어갈 경우, 스마트폰에 저장된 개인정보가 탈취될 수 있다”며 “국내 뿐만 아니라 유럽에서도 스팸 문자를 통해 악성코드 설치하는 공격이 대부분 코로나19 키워드를 악용해 이뤄지고 있다”고 설명했다.

같은 아이디 비밀번호 사용이 치명적인 이유

한 서비스에서 유출된 아이디와 비밀번호를 다른 서비스 로그인에 시도하는 공격인 ‘크리덴셜 스터핑’ 공격의 피해가 급증하고 있다. 예를 들어, A사이트와 B사이트의 아이디와 비밀번호가 같다고 가정해보자. 한 사이트의 아이디, 비밀번호가 노출되기만 해도, 타 사이트의 공격 위협은 늘어난다.

조 CISO는 “크리덴셜 스터핑 공격으로 포털 회사들의 고민이 많아지고 있다”며 “이 공격의 성공률은 꽤 높다. 대응을 위해 여러 서비스의 아이디와 비밀번호를 다르게 설정해야 한다”고 강조했다.

크리덴셜 스터핑 공격을 막기 위한 또 다른 방법도 있다. 바로 2차 인증을 활성화하는 것이다. 2차 인증은 PC에서 로그인한 이후 스마트폰으로 인증 요청을 방식으로, 사용자가 로그인한 것이 맞는지 확인한다. 구글, 애플, 네이버 등에서 2차 인증을 활성화할 수 있다.

끝으로 조 CISO는 아무도 믿지 말라는 신조의 ‘제로트러스트’ 보안 전략으로 전환해야 한다고 강조했다. 그는 “시스템 내외부를 따로 나누지 않고 모든 곳이 위험하다고 가정해야 한다”며 “누구든 시스템에 접근하려면 권한을 부여하기 전에 한번 더 인증하고, 접근하려는 데이터에 따라 보안강도를 차별화해야 한다”고 밝혔다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network