Home > 전체기사
코로나 악용하려는 피싱 공격, 유별나게 위험한 건 아니다
  |  입력 : 2020-05-21 15:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나와 관련된 표현 담긴 도메인, 숫자가 굉장히 늘어난 것은 사실이지만
실상을 알고 보니 대부분이 빈 페이지, 14%가 사기성, 2.4%만이 악성


[보안뉴스 문가용 기자] 코로나 사태가 전 세계적으로 장기화 되고 있다. 많은 사람들의 관심이 코로나로 쏠릴 수밖에 없는 상황인데, 이를 악용한 사이버 공격도 발맞춰 늘어나고 있어 문제가 더 심각해지고 있다. 그런데 보안 업체 라스트라인(Lastline)이 오늘 “코로나를 미끼로 삼은 피싱 공격이 늘어났다는 건 과장된 내용”이라는 보고서를 발표했다.

[이미지 = iclickart]


라스트라인이 조사한 바에 따르면 “코로나와 관련되어 새롭게 등록된 도메인들이 많긴 하지만 84%가 그냥 비어 있는 상태”라고 한다. 또한 14%는 콘텐츠가 있긴 하지만 악성이라고 명확히 규정하기가 애매하다고도 한다. “대부분 코로나와 관련된 가짜 혹은 불량 상품들을 판매하는 곳들이었습니다. 보안에서 말하는 ‘악성’ 사이트까지는 아닌 곳이죠. 확실히 악성이라고 볼 수 있는 사이트는 2.4%에 불과했습니다. 이런 곳에서는 특정 정보가 실제로 탈취되고 있었습니다. 종합해보면 코로나 팬데믹 사태를 악용하기 위해 만들어진 악성 사이트는 800개 정도에 불과합니다.”

라스트라인의 엔지니어링 책임자인 로만 바실렌코(Roman Vasilenko)는 “코로나 바이러스 때문에 생긴 대중적 공포를 악용하려는 시도가 존재하는 건 분명한 사실이지만, 이를 실제로 실행에 옮긴 자들은 그리 많지 않고, 있다 하더라도 거의 대부분은 가짜 물건을 판매하려는 것 정도에서 그치고 있다”고 설명한다. 정보보안에서 흔히 말하는 컴퓨터 감염이라든가 정보 탈취는 극히 일부에서만 일어나는 일이라는 것이다.

지난 2~3개월 동안 많은 전문가들과 매체가 ‘코로나를 미끼로 삼은 사이버 공격에 주의하라’는 경고를 내놓았었다. 그런 조언들의 근간에는 ‘코로나 바이러스를 주제로 잡은 도메인이 대량으로 등록되기 시작했다’는 사실이 있었다. 3월 후반에는 이런 사이트가 하루에 2000개 꼴로 등록이 되었으니, 이 근거 자체가 틀린 건 아니었다. 심지어 4월까지 누적된 코로나 관련 도메인의 수가 10만 개를 넘어서기도 했다. 4월 중순 미국의 국회의원들이 도메인 등록 기관에 서신을 보내 ‘더 적극적인 공격 차단을 실시해 달라’고 요청하기도 했다.

라스트라인의 이번 보고서는 ‘새로 등록된 도메인이 증가하고 있다’는 사실 자체를 한 번 더 파헤쳤다는 점에서 의미가 깊다. 숫자로만 보면 증가와 감소 추이밖에 볼 수가 없는데, 실제 사이트를 하나하나 조사함으로써 ‘실질적은 위험성’을 알아낸 것이기 때문이다. “정보 보안 전문가들이 경고하는 내용에 부합하는 사이트는 2.4%밖에 되지 않습니다. 나머지는 크게 걱정하지 않아도 될 만한 것들입니다.”

게다가 그 악성 사이트라는 곳들도 “이전 피싱용 사이트들과 다를 것이 하나도 없다”고 라스트라인은 한 번 더 강조한다. “코로나 사태 훨씬 이전부터 있어왔던 것들과 같습니다. 정말 새롭고 혁신적이라 예상치 못한 위협이 되는 건 거의 없다고 보면 됩니다. 즉, 코로나 바이러스를 미끼로 삼은 피싱 공격이라고 해서 특별히 더 무서워할 필요가 없다는 겁니다.”

라스트라인은 이번 연구를 위해 사이버위협연합(Cyberthreat Coalition), 피시랩스(PhishLabs), CISA에서부터 새롭게 등록된 도메인 관련 정보를 수급했다. 또한 코로나 혹은 그와 비슷한 단어를 포함한 랜딩 페이지들을 대량으로 수집해 클러스터를 형성한 뒤 분석했다고도 한다. “피싱 메시지 자체는 현재 상황과 밀접한 것들이 많고, 따라서 자주 변하지만 피싱 웹사이트는 궁극적 목적에 초점을 맞추고 있죠. 피싱 메시지만 보면 공격자들의 적응력이 대단해 보이지만, 사이트를 조사하면 그렇지도 않다는 걸 알 수 있습니다. 결국 목적은 단순할 수밖에 없습니다.”

라스트라인은 피싱 공격을 위해 등록된 피싱 URL을 총 30만개 정도 찾아냈다. 그러나 팬데믹 선포 이전에 생성된 것을 전부 삭제하니(팬데믹 선포 이후 피싱 공격이 늘어났다는 경고의 목소리가 보안 업계 내에서 나왔기 때문이라고 한다) 795개만 남았다. 총 네 개의 공격 캠페인에서 이 795개 URL을 사용하고 있었는데, 세계보건기구, 캐나다국세청, 넷플릭스, 이름을 밝힐 수 없는 전자 송금 시스템을 겨냥한 것이었다.

또한 라스트라인은 “코로나를 미끼로 삼은 피싱 공격이 4월 2째 주에 최고치를 기록했고, 그 후로는 계속해서 감소하고 있다”고도 밝혔다. “피싱 공격으로서의 코로나 사태는, 새로운 사건이 다시 한 번 터지지 않는 이상, 막바지로 가고 있다고 봐도 무방합니다.”

3줄 요약
1. 팬데믹 선언 이후 코로나에 대한 관심을 악용한 피싱 공격 늘어났다고 하는데, 정말일까?
2. 코로나를 키워드로 삼은 도메인은 확실히 늘었으나, 대부분 빈 페이지들뿐.
3. 크리덴셜 탈취 등 실제 악성 행위가 이뤄지는 곳은 2.4%에 불과. 숫자로 치면 800개도 안 됨.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)