본문 바로가기

IT Insights

코로나 뉴노멀 시대와 악성메일


2019년 12월 처음으로 보고되었던 코로나바이러스는 어느덧 우리 삶의 많은 부분을 바꾸어 놓았으며, 이 새로운 코로나 시대 대응의 핵심은 “스피드와 적응력”이라고 많은 사람이 이야기하고 있습니다. 그 어떠한 분야보다 사회 이슈와 트렌드에 민감하게 반응하는 악성코드 제작자 또한 코로나 시대에 빠르게 적응하고 있습니다. 본 아티클에서는 코로나바이러스와 관련된 악성 메일 사례를 정리해 보았습니다.

 

Ⅰ. 계정정보 탈취를 위해 제작된 피싱메일
 
지난 2월 코로나바이러스가 전 세계로 확산하기 시작하며 뉴스를 통해 많은 사람이 관심을 기울이기 시작하였습니다. 그리고 악성코드 제작자 또한 해당 뉴스에 관심을 가지기 시작하였습니다. 다음은 지난 2월 보고된 악성 메일입니다.

지역 내 COVID-19 감염자 발생에 대한 미국 CDC(Centers for Disease Control and Prevention) 알림 메일로 위장하였습니다. 공격자는 이메일 수신자를 속이기 위하여 발신자 주소에 CDC와 WHO를 포함하여 공신력 있는 단체에서 보낸 메일인 것처럼 위장하였습니다. 그러나 실제 발신 도메인(highlvl.com)은 두 기관과 전혀 관계가 없었습니다. 메일 본문 중앙에는 who.int 사이트 링크가 걸려 있어 상세한 정보를 확인하기 위해서는 해당 링크를 클릭해야 합니다. 실제 링크를 클릭하면 표시된 것과 달리 who.int가 아닌 sendgrid.net에 구성된 페이지로 접속됩니다. 현재는 접속되지 않지만, 당시 접속을 하였을 경우에는 사용자 정보 확인을 위하여 이메일 계정 로그인을 유도하였으며, 공격자는 로그인한 사용자의 아이디와 패스워드를 가로채어 다음 공격에 해당 정보를 활용하였을 것입니다.

 
Ⅱ. 악성코드를 첨부한 코로나바이러스 관련 위장메일
 
미국에서 코로나바이러스 확산세가 급격히 늘어나던 4월에는 방역 관련 물품들의 품귀 현상이 일어나며 가격이 천정부지로 뛰어올랐습니다. 각국 정부는 마스크 등 기본 방역물품을 확보하기 위하여 많은 노력을 하기 시작하였습니다. 공격자들은 이러한 상황을 노려 다음과 같은 메일을 만들어 발송하였습니다. 

방역물품을 판매할 수 있다는 내용의 메일이며, 판매 제품들에 대한 정보를 그림 파일로 첨부하였습니다. 한참 방역물품들의 가격이 폭등하던 시기이기에 해당 메일수신자들의 관심을 갖기에는 충분했을 것 같습니다. 첨부파일 중 “Sample Product.r15”는 “RAR” 압축 파일로 제품에 대한 정보를 담고 있는 문서로 위장하였으나, 내부에는 윈도우 실행파일이 들어 있었습니다. 


상기 그림은 첨부파일 “Sample Product.r15”를 7zip 프로그램을 이용하여 내부에 존재하는 파일을 살펴본 화면입니다. “Sample Product.exe”라는 파일이 존재하며, 주의 깊게 살펴보지 않고 파일을 클릭하였을 경우에는 악성코드에 감염됩니다. 이 악성코드는 한 번 실행되면 수신자의 PC에서 계속 존재하며, 지속적으로 PC에서 사용자의 정보(PC 또는 이메일 계정 및 비밀번호)를 수집 후 공격자에게 전송합니다. 또한 다른 PC의 공격(DDoS 등)에 활용되기도 합니다. 이와 더불어 코로나바이러스 치료에 대한 정보로 위장한 메일도 보고가 되었습니다. 


위 악성메일 제작자 또한 메일 내용에 신뢰를 주기 위하여 WHO를 사칭하였습니다. 코로나바이러스 치료 백신에 대한 정보와 복용 방법을 확인하기 위하여 첨부된 파일을 열람할 것을 지시하고 있습니다. 파일명 끝부분이 pdf로 끝나기에 문서인 것처럼 보이나, gzip 압축파일이어서 압축 해제 시 PDF 모양의 아이콘으로 위장한 악성코드 실행파일이 내부에 존재합니다. 해당 악성코드를 실행하였을 경우에는 이전 메일과 마찬가지로 PC에서 지속적으로 정보 유출 및 다른 PC 공격 시도 등의 동작을 수행하게 됩니다.

 

Ⅲ. 재택근무를 노린 피싱메일

 
세계 각지에서 코로나의 확산이 심각해지자, 각국에서는 비상사태를 선포하며 도시를 봉쇄하였습니다. 식료품 구매, 의료시설 방문 등 필수적인 이동 이외에는 출입이 제한되며 재택근무가 권고되었습니다. 그로 인해 Microsoft Teams, Cisco Webex, Zoom 등 화상회의를 지원하는 플랫폼들의 사용이 급상승하였습니다. 계정 탈취를 위한 피싱메일의 경우에도 기존에는 이메일에 집중되어 있었다면, 코로나 이후에는 화상회의 플랫폼 계정을 노리는 사례가 급증하였습니다.


위 메일은 업무용 화상회의 플랫폼으로 많이 사용 중인 Cisco Webex 계정에서 보안 문제가 발생하였음을 알려주는 알림 메일로 위장된 피싱메일입니다. 계속 사용하기 위한 활성화 인증을 위해 webex에 로그인할 것을 요구합니다. 발신자 또한 @webex.com으로 표시되어 있어 메일 수신자들은 속을 수밖에 없었습니다. 이러한 피싱메일의 경우 링크를 클릭했을 때 접속하는 도메인이 정상적인 서비스 도메인이 아니므로, 웹 브라우저의 주소를 잘 살펴보는 습관을 들여 피해를 예방해야 합니다. 이 피싱메일에서는 "signin-global-webex.com"이라는 허위 도메인을 생성하여 악용하였습니다.

 

Ⅳ. APT 그룹의 스피어피싱으로 활용된 코로나 대응메일

 
국가 배후 해킹조직으로 추정되는 공격자들 또한 사회적 이슈에 굉장히 민감합니다. 불특정 다수가 아닌 소수의 특정인을 노리는 그들에게는 정교하게 만들어진 공격시나리오가 공격의 성공 여부를 결정하는 첫 번째 단추이기 때문입니다.


이 메일은 감염병관리지원단으로부터 온 코로나바이러스 대응메일로 위장하였으며, 확진자가 발생한 지역에 함께 있었으니 첨부파일 열람 후 해당 양식에 따라 회신할 것을 요청하였습니다. 그러나 해당 첨부파일은 한글 프로그램의 EPS 취약점[1] 공격 파일로 해당 파일 열람 시 서버로부터 백도어를 다운로드받아 PC에 설치합니다. 아래는 AhnLab의 V3 제품이 한글 파일을 진단한 화면입니다.


맺음말

위의 사례들을 보면, 악성코드 제작자들이 사회 이슈를 얼마나 효과적으로 사용하고 빠르게 적용하는지 알 수 있습니다. 그들은 우리의 조그마한 실수를 유도하기 위하여 끊임없이 노력하고 있습니다. 빠르게 변화하는 세상에서 우리가 무심코 놓쳤던 부분으로 다음에 큰 어려움을 겪게 될 수 있습니다. 이러한 사례들의 공유가 여러분의 주의를 기울일 수 있는 계기가 되었으면 좋겠습니다. 물론 보안 분야에 몸담고 있는 저도 여러분의 자산을 지키기 위해 더욱 노력하겠습니다.

Reference
[1] https://asec.ahnlab.com/1181


▶  해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶  해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

이영수
삼성SDS 통합보안센터 보안기획그룹

대학교에서 보안을 전공하였으며 악성코드 리버스엔지니어링 분야에서 경력을 쌓은 후, 그 경험을 바탕으로 현재 침해사고 예방 및 대응 업무를 담당하고 있습니다.