"가짜 이력서에 음란물 이용 협박까지"…코로나 악용 사이버 공격 기승

기사등록 2020/05/31 05:58:00
  • 트위터
  • 페이스북
  • 카카오톡
  • 카카오스토리
  • 문자
  • URL
온라인 채용 늘자 이력서 사칭 악성코드 잇달아 발생
긴급재난지원기금 조회 및 안내’ 사칭 스미싱 공격도
연예인 실명 및 자극적 이미지 이용 게시물로 피싱 위협

associate_pic4
[서울=뉴시스] 이재은 기자 = 코로나19 확산을 악용해 이메일로 악성코드를 유포하는 등 사어버 공격이 기승을 부리고 있다.

31일 보안업계에 따르면 코로나19로 재택근무나 화상회의 등을 도입한 기업이 늘어나고 있는 틈을 타 개인 PC의 취약한 보안체계를 노린 악성 메일 공격이 급증하고 있다.

특히 가짜 이력서 이메일을 악용한 악성코드 유포 사례가 잇달아 발견됐다. 이는 코로나로 비대면 채용 등 이메일 소통이 많아진 점을 노린 것으로 분석된다. 최근에는 이력서를 위장한 이메일 첨부파일로 유포되는 '넴티(NEMTY) 랜섬웨어'가 발견됐다.

안랩에 따르면 공격자는 메일 본문에 '공고를 본 지는 조금 됐지만 지원한다', '이력서와 포트폴리오를 같이 보낸다' 같은 자연스러운 한글 메시지를 담았다. 이는 메일 수신자의 의심을 피하고 모집 기간이 아닌 기업의 담당자도 악성 첨부파일을 열어보도록 유도하기 위해 포함된 내용으로 추정된다.

메일에는 특정인의 이름을 제목으로 한 압축파일(.tgz)을 첨부했다. 압축파일을 해제하면 '포트폴리오(200317)_뽑아주시면 열심히하겠습니다'와 '입사지원서(200317)_뽑아주시면 열심히하겠습니다'는 제목의 두가지 파일이 나타난다. 두 파일은 각각 PDF 파일과 한글 문서 파일의 아이콘을 사용해 정상 문서파일로 위장하고 있지만 사실은 모두 악성코드를 포함한 실행파일(.exe)이다.

앞서 지난 1월에는 이력서를 위장한 정보유출 악성코드가 유포됐다. 3월에도 넴티, 마콥(MAKOP) 랜섬웨어를 각각 가짜 이력서 첨부 이메일로 유포한 사례가 발견된 바 있다.

associate_pic4[서울=뉴시스] 이력서 사칭 메일.
또 코로나로 온라인 수업을 진행되는 것을 이용해 학생과 학부모 등을 대상으로 한 사이버 범죄도 발생했다. 지난달 원격수업 관련 파일 다운로드를 위장한 피싱 사이트에서 ‘블루크랩 랜섬웨어’를 유포한 것이다.

거기다 코로나 위기 극복을 위한 정부의 긴급재난지원금 조회 및 안내를 사칭한 스미싱 공격도 발견됐다.  스미싱은 문자메시지(SMS)와 피싱(phising)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자를 대량 전송한 뒤 이용자가 악성 앱을 설치하도록 유도해 금융정보나 개인정보 등을 탈취하는 사기 수법이다.

이스트시큐리티와 방송통신위원회에 따르면 공격자가 재난지원금 신청이 시작된 지난달 11일부터 '주소가 불분명하여 배달이 불가능하다’는 택배 사칭 내용과 가짜 긴급재난지원금 신청 인터넷 주소를 첨부해 개인정보를 알아채는 방식의 스미싱이 발견됐다. 또 '[긴급재난자금] 상품권이 도착했습니다'란 내용과 함께 인터넷주소를 보내 클릭을 유도하는 스미싱도 있었다.

이밖에 질병관리본부, 세계보건기구(WHO), 관세청 등 공식력 있는 기구를 사칭해 건강 정보를 알려주는 걸로 위장해 코로나로 불안한 사용자들이 심리를 악용하는 사례도 빈번하게 발생하고 있다.

한편 지난달 사회적 거리두기가 진행되면서 비대면 소통이 많아진 것을 이용해 온라인 카페로 퍼지는 피싱 위협도 기승을 부렸다.

associate_pic4[서울=뉴시스] 국세청 홈택스 전자세금계산서 발급 안내로 사칭한 이메일 화면.
안랩에 따르면 지난달 피싱 공격자는 사전 탈취한 국내 유명포털 계정정보로 다양한 온라인 카페에 연예인 음란 동영상을 위장한 게시글을 작성했다. 특히 제목에 `○○○(실명)&□□□(실명) 부적절한 관계`, `○○○(실명)이 이럴수가…완전 망신` 등 유명 연예인의 실명을 언급하고, 본문에는 자극적인 이미지를 포함해 사용자의 호기심을 자극했다.

사용자가 게시글 본문의 이미지를 클릭하면 공격자가 미리 제작해 놓은 `음란 동영상 플레이어`를 위장한 피싱 사이트로 연결된다. 해당 피싱 사이트 내 동영상 플레이어의 재생버튼을 클릭하면 포털 사이트의 로그인 화면과 유사한 가짜 로그인 페이지가 열린다. 만약 사용자가 자신의 포털 아이디(ID)와 비밀번호를 입력하면 해당 계정정보는 공격자에게 전송된다. 계정정보 입력 후에는 정상 포털 사이트의 동영상 서비스 페이지로 자동 연결된다.

아울러 텔레그램 ‘n번방’ 사건으로 국민적 공분이 폭발한 가운데 음란물 사용자의 불안 심리를 악용한 범죄도 기승을 부렸다. 사용자 비밀번호를 언급하며 음란물 이용 사실을 퍼뜨리겠다고 협박, 암호화폐를 요구하는 스팸 메일이 유포된 것이다.

메일 본문이나 첨부된 문서 파일에는 “당신의 계정 비밀번호(유출된 실제 비밀번호 기재)를 알고 있다. 웹 카메라를 이용해 음란물을 보는 모습을 촬영했고 PC와 사회관계망서비스(SNS)의 모든 연락처를 확보했다”는 메시지가 있다. 그러면서 “비트코인으로 1164달러(140만원)를 송금하지 않으면 음란물 접속 기록과 시청 영상을 주소록 내 연락처로 보내겠다”고 협박했다.

업계에서는 연일 관련 범죄에 대한 경고를 하며 첨부파일 실행에 주의를 당부했다. 안랩 분석팀 한명욱 주임 연구원은 “공격자는 사회의 트렌드 변화를 공격에 빨리 적용한다”며 “기업, 기관 구성원들은 전체 조직의 피해를 예방하기 위해 출처가 불분명한 메일 속 첨부파일은 내려받지 말고, 파일 실행 전에는 파일 확장자명을 다시 한 번 확인하는 등 기본 보안수칙을 생활화해야 한다”고 밝혔다.


◎공감언론 뉴시스 lje@newsis.com

기사등록