단순 폐렴으로 치부되었던 신종코로나 바이러스(COVID-19)로 인해 전세계는 팬데믹(Pandemic)사태를 맞이하게 되었다. 현실세계의 혼란이 투영되었는지 사이버세계에서도 코로나바이러스를 이용한 공격이 급증하기 시작하였다. 코로나19 안내문자를 사칭하는 스미싱 문자부터 사칭 앱, 사칭 피싱 메일까지 다양한 유포방식을 이용하여 무차별공격을 지속하고 있다. 이러한 공격은 현재까지도 지속되고 있기 때문에 사용자들의 각별한 주의가 요구되고 있다.
이러한 시대적 환경을 반영하여 월간보안동향 4월호 Analysis Report에서는 “알아보잡 Series” 대신 사이버 세상을 위협 중인 다양한 ‘코로나19 사칭 악성코드’에 대해서 이야기해보고자 한다. 유포되는 방식의 상당수가 메일을 매개체로 유포되고 있기 때문에 메일 내용의 특징과 악성코드의 종류에 대해서 알아보고자 한다
공격자들은 악성코드 유포에 주로 메일을 사용한다. 정보 탈취를 위한 사이트로 리다이렉션되는 악성 URL을 포함하거나 다양한 형태의 첨부파일을 이용하여 공격을 진행하고 있으며 첨부파일에 사용되는 악성코드의 종류도 다양하다.
미 질병통제예방센터를 사칭한 피싱 메일이다. 메일 본문에는 실제 질병통제예방센터의 도메인 주소 www.cdc.gov가 적혀있으나 해당 하이퍼링크를 실행 시 메일 본문에 안내되어 있는 URL이 아닌 다른 링크로 리다이렉션된다. 이후 사용자의 아웃룩 계정 정보를 요구한다.
[그림 1] 미 질병통제예방센터(CDC) 사칭 메일 본문 (출처 : 카스퍼스키)
기업의 경영관리부를 사칭한 메일도 유포되었다. 해당 메일은 국내를 타깃으로 유포되었으며 첨부파일은 워드 매크로를 악용하는 문서형 악성코드였다.