[아이티데일리] 올 상반기 코로나19(COVID-19) 팬데믹 이슈가 전 세계를 휩쓸자, 이 이슈를 악용한 사이버 공격도 증가한 것으로 조사됐다. 코로나19 관련 구글 검색 트렌드가 높아질수록, 코로나19 이슈를 악용한 악성 URL도 증가한 것으로 나타났다.

14일 포티넷(한국지사장 조원균)은 포티가드랩이 발간한 ‘2020 상반기 글로벌 위협 전망 보고서’를 발표했다. 이번 보고서에 따르면, 발견된 악성 URL 중 상당수는 ▲코로나바이러스 ▲코로나19 백신 ▲항말라리아약인 ‘클로로퀸(Chloroquine)’ ▲에볼라 치료제로 개발된 항바이러스제 ‘렘데시비르(Remdesvir)’ 등의 키워드를 포함하고 있었으며, 접속자의 정보를 수집하거나 멀웨어 및 스팸을 배포하는 데 사용됐다.

또한 코로나19 관련 대응 지침 등이 포함된 악성 문서 및 이메일이 급증한 것으로 조사됐다. 이러한 사이버 공격은 질병통제예방센터(CDC)와 세계보건기구(WHO)와 같은 신뢰할 수 있는 출처로 위장해 사용자를 속였다. 이외에도 코로나19 이슈를 악용한 APT 공격, 랜섬웨어 공격 등이 탐지됐다.

취약점을 노린 사이버 위협에도 큰 변화가 있었다. 1/4분기에는 ▲ThinkPHP.Controller ▲JAWS.DVR ▲Joomla!.Core 등을 악용한 사이버 위협이 부각됐으며, 2/4분기에는 ▲JAWS.DVR ▲PHP.CGI ▲ThinkPHP.Controller 등을 악용한 사이버 위협이 많은 것으로 탐지됐다. 특히 2/4분기 들어 ‘PHP.CGI’, ‘PHPUnit.Eval-stdin’ 취약점을 악용한 공격이 크게 증가한 것으로 조사됐다.

PHP 5.4.2 이전 버전에서 원격코드 실행이 가능한 ‘PHP.CGI’ 취약점은 지난 1월 최초로 발견돼 5월 6일 보안패치가 적용됐다. 이 취약점을 악용하면 시스템에 접속된 사용자의 정보를 출력할 수 있다. 해당 취약점에 대응하기 위해서는 5.4.2 이후 버전으로 업데이트해야 한다. ‘PHPUnit.Eval-stdin’ 또한 PHPUnit에서 원격코드를 실행할 수 있는 취약점이다.

봇넷을 이용한 사이버 위협은 미라이(Mirai)와 고스트(Gh0st)의 활동이 가장 두드러졌다. 미라이 봇넷은 IP카메라, CCTV, 라우터 등 IoT 장비를 감염시켜 DDoS 공격에 악용하는 악성코드이며, 고스트는 PC를 감염시켜 데이터 유출, 시스템 관리 등이 가능한 악성코드다.

포티넷 측은 “이러한 봇넷 트렌드는 원격 근무자들이 기업 네트워크와 연결하기 위해 사용하는 장치를 악용, 기업 네트워크 공격을 위한 거점을 확보하려는 사이버 범죄자들의 의도를 보여준다. 이는 엔터프라이즈 네트워크 경계가 집까지 확장돼 더 주의 깊은 보안 조치가 필요하다는 점을 시사하고 있다”고 설명했다.

데릭 맨키(Derek Manky) 포티넷 보안 인사이트 & 글로벌 위협 얼라이언스 총괄은 “원격근무의 증가로 디지털 공격 범위가 확대되고 있다. 기업 네트워크 경계가 이제 집까지 확대됨에 따라 공격자들은 가장 취약한 링크와 새로운 공격 기회를 찾고 있다. 기업들은 기업 네트워크와 유사한 방식으로 그들의 직원, 장치 및 정보를 보호하기 위한 구체적인 조치를 마련해 이와 같은 상황에 대비해야 한다”고 강조했다.

한편 랜섬웨어 위협도 지난 6개월간 지속된 것으로 나타났다. 특히 코로나19 관련 메시지와 첨부파일로 사용자를 속이는 랜섬웨어 캠페인이 증가했다. 일부 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(Master Boot Record)을 변조하는 것으로 나타났으며, 데이터 암호화뿐만 아니라 데이터 유출로 협박하는 랜섬웨어 공격도 발견됐다.