[아이티데일리] 코로나바이러스감염증-19(COVID-19, 이하 코로나19)가 전 세계를 휩쓸며 전례 없는 사태로 번져나가고 있다. 지난해 말 중국 후베이성 우한시에서 발견된 이래, 이미 반년 이상 뚜렷한 대책을 찾지 못하고 확산 일로를 걸었다. 지난 3월에는 세계보건기구(WHO)가 코로나19에 대해 질병 경계 수준의 최고 단계인 팬데믹(pandemic)을 선언했으며, 5월 현재 전 세계에서 감염이 확인된 환자의 수는 500만 명 이상으로 집계됐다.

코로나19가 디지털 트랜스포메이션을 가속화하고 있다. ‘거리두기’ 캠페인 등으로 인해 재택 및 원격근무 등 근무 환경의 혁신을 위해 디지털 트랜스포메이션이 이뤄지고 있는 것이다. 이러한 혁신은 보안 업계에도 영향을 미치고 있다.

전 세계적인 ‘거리두기’ 캠페인에 따라 원격근무 환경이 확산되고 있지만, 이로 인해 기존 경계 보안의 한계가 더욱 두드러지고 있다. 방화벽 등 네트워크 보안 솔루션으로 대표되는 경계 보안은 조직 시스템을 중심으로 경계를 구축하고, 외부로부터의 침입을 방지한다. 정해진 업무 공간을 보호하기 위한 체계인 것이다.

하지만 원격 및 재택근무가 확산되면서 경계가 모호해지고 있다. 기존 사무실 등 정해진 업무공간 뿐만 아니라, 개인 디바이스, 재택 등으로 보안의 범위가 확장되고 있기 때문이다. 이에 조직들은 경계 보안의 한계를 보완할 수 있는 방안을 모색하고 있다. 원격근무 환경에서 안전하게 조직 시스템에 접근하는 방안과 기업의 주요 데이터를 보호할 수 있는 방안에 주목하고 있다.

언택트 트렌드, 보안 중요성 더 커진다

코로나19 확산이 장기화됨에 따라, ‘언택트(Untact)’가 일상으로 자리잡고 있다. 이제는 사무실에서 회의하는 모습과 같이 원격으로 화상회의를 진행하는 것이 일반화됐다. 특히 국내에서는 바이러스 확산 방지를 위해 교육 또한 원격으로 진행되고 있다.

이러한 ‘언택트’, 원격 환경에서 보안이 무엇보다 중요하다. 예를 들어 재택근무 중 디바이스가 악성코드에 감염된다면, 이를 통해 기업의 시스템도 공격받을 수 있다. 또한 원격 회의 도중 외부인이 회의에 참여해 기업의 주요정보를 빼돌릴 수도 있다. 실제로 학교에서 진행하는 원격수업에 제3자가 침입해 신체 특정 부위를 노출하는 등 폐해가 발생하기도 했다.

화상회의 플랫폼 ‘줌(Zoom)’에서 보안사고가 잇따라 일어나 이슈가 된 바 있다. 미국에서는 줌을 이용한 행사에서 음란물이 재생되는 사건도 있었다. 조사 결과 이 사건은 사이버 공격가 화상회의에 무단으로 침입해 화면 공유기능으로 음란물을 재생한 것이었다.

보안 업계에서는 ‘줌’과 관련된 보안 이슈로 ▲줌 폭격(Zoom-Bombing) ▲종단간 암호화 미지원 ▲제로데이 익스플로잇 ▲줌 계정 거래 ▲멀웨어와 함께 유포된 설치 프로그램 ▲암호화에 대한 의혹 ▲암호화 키를 중국에서 관리 ▲동일한 메일 도메인 사용자에 대한 정보 유출 등이 있었다고 지적한다.

‘줌 폭격’은 진행 중인 줌 희의에 미 인가 사용자가 무단으로 참여하는 경우를 의미한다. 진행 중인 회의의 URL만 알아낼 수 있으면 참여가 가능하다는 것이 문제가 됐다. ‘종단간 암호화 미지원’ 이슈는 줌 회의에 참여한 사용자 간의 암호화가 미지원되는 것으로 알려졌다.

줌과 관련된 제로데이 익스플로잇도 경고가 됐다. 카스퍼스키랩 연구원은 약 500여개의 줌 관 련 의심파일을 경고한 바 있다. 여기에는 애드웨어 등이 포함된다. 제로데이 익스플로잇은 줌 외에도 스카이프(Skype), 웹엑스(WebEx), 고투미팅(GoToMeeting) 등에서도 지적되는 문제다.

이외에도 다크웹에서 줌 계정이 거래되는 정황이 발견된 바 있으며, 설치 프로그램과 암호화폐마이닝 악성코드가 번들로 제공되는 경우도 있었다. 더불어 줌에 적용된 암호화가 AES-256가 아닌 AES-128인 것으로 조사되기도 했다. 암호화키를 중국에서 관리하는 것도 문제로 지적됐다. 일부 줌 서버가 중국에 있어 정보 침해의 소지가 우려되는 부분도 있으며, 동일한 메일 도메인 사용자를 동일 폴더에서 관리해 참가자의 이메일과 이름, 사진이 공유된다는 문제도 지적됐다.

원격근무 환경 노린 사이버 공격도 급증

코로나19로 원격근무 환경이 확산됨에 따라, 이를 노린 사이버 공격도 늘어나고 있다. 특히 긴급재난지원금 신청, 마스크 무료 수령, 재난지원금 상품권 등 이슈를 악용한 공격은 물론, 이력서 등으로 위장한 공격이 늘고 있어 사용자의 각별한 주의가 요구된다.

지난달 12일 이스트시큐리티는 ‘긴급재난지원금 조회 및 안내’를 사칭한 스미싱 공격을 발견했다. 해당 공격은 11일부터 시작된 코로나19 위기 극복을 위한 ‘긴급재난지원금 신청’을 악용해 문자메시지로 유포됐다. 당시 발견된 스미싱 공격은 택배 사칭 메시지가 재활용됐으며, 문자 메시지에 첨부된 URL을 클릭하면 가짜 정부 재난지원금 신청 사이트로 연결된다. 만약 가짜 사이트에 자신의 개인정보를 입력하면, 공격자에게 전달된다. 문종현 이스트시큐리티 시큐리티대응센터장은 “긴급재난지원금과 관련해 국민들의 관심이 높았던 만큼, 관련 이슈를 악용한 공격에 각별한 주의를 기울여야 한다”고 당부한 바 있다.

이외에도 이력서를 사칭해 랜섬웨어를 유포하는 사례가 지속 발견되고 있다. 특히 최근에는 온라인 기반 채용이 증가함에 따라, 이를 악용하고 있는 것으로 보인다. 지난달 발견된 이력서 사칭 악성 메일의 경우 랜섬웨어와 정보탈취 악성코드를 동시에 포함시킨 것이 특징이었다.

이력서를 악용한 메일은 ‘이력서’라는 제목의 압축파일이 첨부돼 있으며, 이 압축파일에는 PDF, 한글문서 파일의 아이콘을 사용해 정상 문서파일로 위장한 실행파일(.exe)이 들어 있다. 한글파일로 위장한 실행파일은 ‘넴티(NEMTY) 랜섬웨어’가, PDF로 위장한 파일은 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 ‘비다르(Vidar) 악성코드’가 설치된다.

이 외에도 질병관리본부를 사칭하거나, 코로나19 실시간 현황 조회 프로그램으로 위장한 악성 이메일이 유포된 적도 있다. 특히 질병관리본부를 사칭한 악성 이메일은 코로나19 감염현황을 확인할 수 있는 공식 홈페이지 URL을 본문에 포함한 것으로 위장했다. 하지만 이메일 전체가 이미지 파일로 구성돼 클릭시 다른 URL로 연결되며, 로그인을 유도해 사용자의 개인정보를 탈취한다.

사회적 이슈를 악용한 사이버 위협은 지속적으로 증가할 것으로 예상된다. 특히 포스트 코로나 시대, 원격 근무 환경에서는 이러한 위협에 더욱 주의해야 한다. 이에 보안 기업들은 업무용 디바이스는 물론, 개인 디바이스에서도 ▲소프트웨어 최신 업데이트 유지 ▲안티 바이러스 등 보안 솔루션 사용 ▲이메일 내 URL 및 첨부파일 실행 주의 등 필수 보안 수칙을 지켜야 한다고 당부한다.