코로나19 상황으로 비대면 방식이 보편화되면서 악성메일을 통한 사이버범죄도 더욱 기승을 부린다. /그래픽=김은옥 기자
코로나19 상황으로 비대면 방식이 보편화되면서 악성메일을 통한 사이버범죄도 더욱 기승을 부린다. /그래픽=김은옥 기자
올 상반기 IT분야를 달궜던 이슈 중 하나는 랜섬웨어다. 지난 5월 미국 최대 송유관 관리업체 콜로니얼파이프라인이 운용하는 송유관이 랜섬웨어 공격으로 폐쇄되면서 미국 동부 일대에 때아닌 연료 대란이 일어났다. 6월엔 미국 내 쇠고기와 돼지고기 도축량의 20%를 담당하는 세계 최대 정육업체 JBS 미국지사가 랜섬웨어 공격을 받아 공장 가동이 일부 중단됐다.

이들은 각각 500만달러(약 57억원), 1100만달러(약 126억원) 상당의 비트코인을 해커들에게 몸값으로 지불한 것으로 알려졌다. 먼 일로 느껴질 수 있지만 우리 주변에도 이 같은 보안 위협은 이미 상존한다. 랜섬웨어를 비롯해 각종 악성코드를 실어나르는 ‘악성메일’ 때문이다.

오프라인은 코로나, 온라인은 악성메일

과거 악성메일은 중동·아프리카의 왕족이나 갑부를 사칭하며 돈을 부치면 거금으로 돌려주겠다는 식의 내용이 상당수를 차지했다. 이렇게 초보적으로 피해자를 낚으려 드는 피싱 메일은 여전히 흔하지만 스팸메일 분류 기능을 통해서도 간단히 걸러진다.

문제는 사이버범죄 행위도 점점 지능화되고 고도화된다는 점이다. 무작위 살포하는 기존 피싱 메일과 달리 사전 수집된 정보를 바탕으로 작살로 물고기를 노리듯 특정 개인·집단을 표적 삼는 ‘스피어피싱’ 공격이 대표적이다. 표적이 된 수신자가 현혹될만한 제목과 내용의 맞춤형 메일로 수신자 PC 침투를 꾀한다. 이후 해당 기업·단체 시스템까지 파고들어 잠복해 더 큰 피해를 불러일으키는 지능형 지속 위협(APT) 공격으로 이어지기도 한다.


지난해 국제형사기구(인터폴) 발표에 따르면 전 세계 사이버범죄 중 59%가 스피어피싱에 해당한다. 2018년 한국인터넷진흥원(KISA)이 국내 스피어피싱 유형을 분석한 결과 기업·기관을 노리는 표적 공격의 91%가 스피어피싱 메일에서 시작된 것으로 조사된 바 있다. 이런 스피어피싱 메일의 94%가 파일을 첨부하는 형태다. 랜섬웨어도 여기 포함되는 단골 메뉴다.

온라인에도 판치는 사기… 클릭 잘못하면 ‘훅’ 간다

올 상반기에도 악성메일은 기승을 부렸다. 글로벌 정보보호기업 아크로니스에 따르면 사회공학적 기법을 이용한 피싱 메일은 올 2분기에 직전분기 대비 62% 증가했다. 이 회사는 멀웨어(악성코드)의 94%가 이메일을 통해 전송되기에 이런 급증은 특히 우려되는 수치라고 지적했다.

올해 국내 악성메일 유입량 추이. /자료제공=ESRC, 그래픽=김은옥 기자
올해 국내 악성메일 유입량 추이. /자료제공=ESRC, 그래픽=김은옥 기자
국내도 상황은 크게 다르지 않다. 정보보안 전문기업 이스트시큐리티의 이메일 모니터링 시스템에 따르면 월평균 500건에 육박하는 악성메일이 발견됐던 지난해 5~9월보다는 소강상태지만 2월 156건으로 줄었다가 6월 250건을 기록하는 등 다시 늘어나는 추세다. 게다가 ‘양보다 질’로 점점 더 정교한 수법을 동원하는 현상이 관측된다. 표적으로 삼은 대상의 주변인을 먼저 해킹해 정보를 수집한 뒤 이를 바탕으로 스피어피싱 메일을 보내기도 한다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 센터장은 “악성메일 첨부파일로 한글(hwp)이 주로 쓰이다가 워드(doc) 비중이 늘어나고 있고 최근엔 북한 정부 지원 해킹그룹을 중심으로 PDF 보안 취약점도 다시 이용되는 추세”라며 “원격제어 악성코드부터 메일로 보내 피해자가 감염되면 이로써 시스템 내부에 침투해 랜섬웨어를 심는 것도 주요 공격 유형”이라고 분석했다.


견적의뢰로 위장한 악성메일(왼쪽)과 공적조서 발송에 대한 회신으로 위장한 악성메일. /자료제공=안랩
견적의뢰로 위장한 악성메일(왼쪽)과 공적조서 발송에 대한 회신으로 위장한 악성메일. /자료제공=안랩
보안기업 안랩에 따르면 상반기에는 ‘확진자 동선’ ‘재난 지원금’ ‘소상공인 지원 종합안내’ 등 코로나19 상황 관련 키워드를 사용한 공격이 다수 발견됐다. 송장·발주서·주문서 등을 위장한 악성메일도 첨부파일이나 본문의 URL(링크) 실행을 유도하는 방식으로 유포됐으며 정보유출 악성코드를 포함하고 있어 2차 피해를 유발했다. 기업 채용 시기에 맞춰 입사지원 문서로 위장해 랜섬웨어와 정보유출 악성코드를 동시에 유포하는 사례도 나왔다.

박태환 안랩 ASEC(시큐리티대응센터) 대응팀장은 “공격자는 사용자의 관심이 높은 주제를 활용해 악성메일을 유포하고 있다”며 “신뢰도가 높은 기업을 사칭하거나 어색한 표현 없이 자연스러운 한글을 구사해 악성메일을 제작하는 등 방식도 고도화되고 있다”고 설명했다.

자나 깨나 악성메일 조심… 보안수칙 생활화 필요

KISA에 따르면 최근 악성메일은 ▲공공기관·발주처를 사칭하거나 이력서 또는 저작권 위반 안내로 위장하는 ‘업무 관련 악용’ 유형 ▲코로나19 상황이나 암호화폐 관련 사항 또는 주요 언론기사를 소재로 삼는 ‘사회적 이슈 악용’ 유형으로 나뉜다. 이런 업무·생활 밀착형 키워드 기반의 악성메일은 시기를 가리지 않고 꾸준히 시도되는 공격 방식이다.

올 하반기 예상되는 악성메일 주요 주제로는 ‘휴가’ ‘채용’ ‘추석’ ‘블랙프라이데이’ 등이 꼽힌다. 안랩에 따르면 막바지에 접어든 휴가철 동안 코로나 상황으로 유행하는 ‘호캉스’ 관련 악성메일이 유포될 수 있다. 실제로 지난해 여름에 ‘호텔 객실 확인하세요’ ‘부재중입니다. 연락주세요’와 같이 호텔예약 관련 메일로 위장한 사례가 있었다.

하반기 채용 시즌도 유의해야 할 시기다. 구직·채용 관련 주제로 이력서·입사지원서·포트폴리오 등으로 위장한 악성메일이 유포된다. 9월 추석 연휴와 11월 블랙프라이데이에는 배송·택배 관련 메일을 유심히 살필 필요가 있다. 공격자가 유통·배송기업 등을 사칭해 악성메일을 유포할 수 있으므로 사용자 주의가 요구된다.

동영상 편집본 확인 요청에 대한 회신으로 위장한 악성메일. ./자료제공=안랩
동영상 편집본 확인 요청에 대한 회신으로 위장한 악성메일. ./자료제공=안랩
이런 악성메일 대처와 대응을 위해 전문가들은 무엇보다 ‘생활 속 보안수칙’을 준수해야 한다고 입을 모은다. ▲출처가 불분명한 메일의 첨부파일이나 URL 실행 금지 ▲발신자가 신뢰할 수 있는 사람·조직 이름이더라도 메일주소 재확인 ▲첨부파일 실행 전 백신 검사 및 매크로(편집 허용, 콘텐츠 사용 등) 기능 실행 자제 ▲운영체제(OS)와 백신 및 오피스 프로그램 등 주요 소프트웨어(SW)는 업데이트로 최신 버전 유지 등이다.
랜섬웨어 등 악성코드에 걸리지 않는 첫걸음은 사용자가 경각심을 갖고 악성메일과 거리를 두는 것이다.

이재광 KISA 종합분석팀장은 “채용 시즌이나 연말정산 등 사회적 이슈와 맞물러 다양한 유형의 악성메일이 지속적으로 발생하고 있다”고 지적했다. 그는 “출처가 불분명한 메일은 링크나 첨부파일을 열람하지 않고 SW 업데이트와 백신 정기검사를 수행하는 등 평소에 노력을 기울여야 한다”며 “피해를 입었다면 KISA ‘내PC돌보미’ 서비스를 신청해 점검받기를 권한다”고 덧붙였다.