2020.05.07

코로나19 해킹, 표적은 ‘최대 피해 지역’

Lucian Constantin | CSO
사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다. 
 
ⓒPixabay

개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다. 

코로나19 연관 도메인의 급증 
팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다. 

팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다. 

CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라서 이들을 차단하기가 더 어렵다. 방화벽 내의 CDN 엣지 서버의 IP주소를 블랙리스트에 등재하면 이를 이용하는 비-악성 도메인 이름까지 차단되기 때문이다. 

CDN 및 클라우드 기반 호스팅 서비스를 이용하는 또 다른 결과는 도메인 이름이 여러 IP주소를 가리키는 여러 DNS A 레코드로 구성된다는 점이다. 이는 중복성 때문이고, DNS 조회를 수행할 때 가장 가까운 서버로 연결하기 위해서이다. 이들은 클라이언트의 지리적 위치에 따라 다른 주소를 지정할 수 있기 때문에 IP주소에 의해 악성 웹사이트를 차단하는 것을 어렵게 만든다.

팔로알토 연구원들은 “3계층 방화벽 내의 블랙리스트 IP는 악성 도메인의 트래픽을 차단하지 못할 수 있다. 보다 지능적인 7계층 방화벽이라면 애플리케이션 단에서 도메인 이름을 조사하고 트래픽 세션을 선별적으로 통과시키거나 차단할 수 있다”라고 말했다. 

팔로알토 네트웍스의 데이터에 따르면 약 5%에 해당하는 2,829개의 악성 코로나19 도메인이 퍼블릭 클라우드에서 호스팅 된다. 이는 비교적 낮은 수치이고, 클라우드 사업자가 엄격한 선별 검사를 하기 때문이다. 그러나 이는 일부 공격자가 기업 방화벽에 의해 차단되지 않을 확률을 높이기 위해 위험을 감수한다는 것을 보여주는 것이기도 하다. 

사이버 공격은 코로나바이러스 감염 추세를 따른다 
보안회사인 비트디펜더(Bitdefender)는 3~4월에 코로나바이러스를 주제로 한 위협의 진화를 분석했고, 자체 텔레메트리(원격 측정 자료)를 기준으로, 공격자가 바이러스로 가장 심한 타격을 받은 국가와 지역에 활동을 집중하는 경향이 있음을 발견했다. 

비트디펜더는 자체 보고서에서 “코로나바이러스 관련 보고 수가 가장 많은 나라는 팬데믹에 가장 큰 타격을 받은 나라이기도 했다. 예를 들어 코로나바이러스 관련 악성코드 보고가 가장 많은 나라는 미국, 이탈리아, 영국 등이었다”라고 말했다. 

집중 공격 대상인 산업 부문을 보면, 공격자는 팬데믹에 심한 영향을 받거나 수요가 높고 인력이 부족한 업종에 집중하는 듯하다. 4월 집중 공격을 받은 부문은 소매, 운송, 제조, 교육, 연구, 정부, 금융, 엔지니어링, 기술, 화학, 식음료였다. 보건 의료가 10위 내에 들지 않은 이유는 다른 업종만큼 사업자가 많지 않기 때문이다. 

비트디펜더는 “이 텔레메트리는 코로나바이러스 주제 보고로 한정되기 때문에, 보건의료 및 여타 부문에서 랜섬웨어 등 다른 악성코드 종류의 증가가 있었을 가능성을 배제할 수 없다”라고 말했다. 

비트디펜더의 텔레메트리를 보면 사이버 범죄자는 3월의 대부분을 유럽에 집중하고, 4월에는 신규 감염 건수가 급증한 미국으로 관심을 돌리면서 코로나바이러스 감염 추세를 추종했다. 사람들이 팬데믹에 관한 자세한 정보를 제공하는 링크를 클릭하고 첨부 파일을 열 확률이 더 높은 지역이다. 비트디펜더가 관찰한 피싱 이메일은 흔히 세계보건기구(WHO), 북대서양조약기구(NATO), 유엔아동기금(UNICEF) 등 국제기구로 위장했다. 

비트디펜더는 “팬데믹은 조만간 사라질 가망이 없고, 사이버 범죄자는 이 위기를 계속 악용할 것이다. 코로나바이러스 주제 위협은 스피어피싱 이메일, 허위 URL, 심지어 악성 애플리케이션의 형태로 계속될 것이고, 모두가 공포와 거짓 정보를 이용해 피해자가 개인, 기밀, 또는 금융정보를 제공하지 않을 수 없도록 유인한다”라고 말했다. ciokr@idg.co.kr
 



2020.05.07

코로나19 해킹, 표적은 ‘최대 피해 지역’

Lucian Constantin | CSO
사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다. 
 
ⓒPixabay

개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다. 

코로나19 연관 도메인의 급증 
팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다. 

팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다. 

CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라서 이들을 차단하기가 더 어렵다. 방화벽 내의 CDN 엣지 서버의 IP주소를 블랙리스트에 등재하면 이를 이용하는 비-악성 도메인 이름까지 차단되기 때문이다. 

CDN 및 클라우드 기반 호스팅 서비스를 이용하는 또 다른 결과는 도메인 이름이 여러 IP주소를 가리키는 여러 DNS A 레코드로 구성된다는 점이다. 이는 중복성 때문이고, DNS 조회를 수행할 때 가장 가까운 서버로 연결하기 위해서이다. 이들은 클라이언트의 지리적 위치에 따라 다른 주소를 지정할 수 있기 때문에 IP주소에 의해 악성 웹사이트를 차단하는 것을 어렵게 만든다.

팔로알토 연구원들은 “3계층 방화벽 내의 블랙리스트 IP는 악성 도메인의 트래픽을 차단하지 못할 수 있다. 보다 지능적인 7계층 방화벽이라면 애플리케이션 단에서 도메인 이름을 조사하고 트래픽 세션을 선별적으로 통과시키거나 차단할 수 있다”라고 말했다. 

팔로알토 네트웍스의 데이터에 따르면 약 5%에 해당하는 2,829개의 악성 코로나19 도메인이 퍼블릭 클라우드에서 호스팅 된다. 이는 비교적 낮은 수치이고, 클라우드 사업자가 엄격한 선별 검사를 하기 때문이다. 그러나 이는 일부 공격자가 기업 방화벽에 의해 차단되지 않을 확률을 높이기 위해 위험을 감수한다는 것을 보여주는 것이기도 하다. 

사이버 공격은 코로나바이러스 감염 추세를 따른다 
보안회사인 비트디펜더(Bitdefender)는 3~4월에 코로나바이러스를 주제로 한 위협의 진화를 분석했고, 자체 텔레메트리(원격 측정 자료)를 기준으로, 공격자가 바이러스로 가장 심한 타격을 받은 국가와 지역에 활동을 집중하는 경향이 있음을 발견했다. 

비트디펜더는 자체 보고서에서 “코로나바이러스 관련 보고 수가 가장 많은 나라는 팬데믹에 가장 큰 타격을 받은 나라이기도 했다. 예를 들어 코로나바이러스 관련 악성코드 보고가 가장 많은 나라는 미국, 이탈리아, 영국 등이었다”라고 말했다. 

집중 공격 대상인 산업 부문을 보면, 공격자는 팬데믹에 심한 영향을 받거나 수요가 높고 인력이 부족한 업종에 집중하는 듯하다. 4월 집중 공격을 받은 부문은 소매, 운송, 제조, 교육, 연구, 정부, 금융, 엔지니어링, 기술, 화학, 식음료였다. 보건 의료가 10위 내에 들지 않은 이유는 다른 업종만큼 사업자가 많지 않기 때문이다. 

비트디펜더는 “이 텔레메트리는 코로나바이러스 주제 보고로 한정되기 때문에, 보건의료 및 여타 부문에서 랜섬웨어 등 다른 악성코드 종류의 증가가 있었을 가능성을 배제할 수 없다”라고 말했다. 

비트디펜더의 텔레메트리를 보면 사이버 범죄자는 3월의 대부분을 유럽에 집중하고, 4월에는 신규 감염 건수가 급증한 미국으로 관심을 돌리면서 코로나바이러스 감염 추세를 추종했다. 사람들이 팬데믹에 관한 자세한 정보를 제공하는 링크를 클릭하고 첨부 파일을 열 확률이 더 높은 지역이다. 비트디펜더가 관찰한 피싱 이메일은 흔히 세계보건기구(WHO), 북대서양조약기구(NATO), 유엔아동기금(UNICEF) 등 국제기구로 위장했다. 

비트디펜더는 “팬데믹은 조만간 사라질 가망이 없고, 사이버 범죄자는 이 위기를 계속 악용할 것이다. 코로나바이러스 주제 위협은 스피어피싱 이메일, 허위 URL, 심지어 악성 애플리케이션의 형태로 계속될 것이고, 모두가 공포와 거짓 정보를 이용해 피해자가 개인, 기밀, 또는 금융정보를 제공하지 않을 수 없도록 유인한다”라고 말했다. ciokr@idg.co.kr
 

X