구나리인턴기자
최근 전자 우편(이메일)을 통한 사이버 공격이 기승을 부리고 있어 주의가 필요하다. 이메일에 첨부된 첨부 파일을 내려받으면 랜섬웨어나 악성코드가 실행되는 방식이다.
[이미지출처=아시아경제DB]
9일 자유아시아방송(RFA)에 따르면, 지난 7일 북한 관련 업계에서 종사하는 일부 인사들이 KBS 보도국 통일 외교부 기자가 보낸 이메일을 받았다.
'KBS 인터뷰 요청 건'이라는 제목의 이메일에는 "북한의 급증하는 미사일 위협과 관련해 한중관계, 한일관계, 북핵 협상 및 무기체계 개발에 대해 서로 다른 시각을 가진 전문가들에 한해 인터뷰를 요청드리고자 한다"는 내용이 담겼다. 끝으로는 "선생님의 회신을 항상 기다리고 있겠다"며 회신을 유도했다.
해당 이메일에 답신을 보내면 회신한 사람에게만 악성파일을 첨부해 공격을 시도하는 방식이다. 전문가는 이번 사이버 공격의 주체를 북한이라고 분석했다.
해커가 보낸 악성파일을 내려받으면 컴퓨터에 저장돼있는 데이터가 유출될 가능성이 있으며, 해커가 감염된 컴퓨터를 감시할 수도 있다.
이번 공격은 북한 해커가 ‘mpevalr.ria[.]monster’라는 주소의 러시아 서버를 활용하고 KBS 현직 기자를 사칭했다는 점이 특징이다. 관계 당국과 협력하여 해당 서버에서 한국 접속을 차단했지만 변형된 공격이 이뤄질 가능성이 있어 주의가 필요하다.
앞서 북한은 국민연금공단과 경찰청 사이버안전국 등을 사칭해 해킹을 시도한 적이 있다.
지난달 말 '[중요] 사이버안전국에서 알려드립니다'라는 제목과 이달 초 '[국민연금공단] 가입내역안내서 확인하기 알림'이라는 제목의 이메일은 수신자의 개인정보를 탈취하는 것이 목적이었던 것으로 밝혀졌다. 호기심과 불안감을 자극하는 공격으로 전형적인 북한의 해킹 시도 수법이라고 전문가는 내다봤다.
미국의 사이버 보안 업체 레코디드퓨처가 지난 2일 발간한 '2022년 결산 보고서'에 따르면, 북한의 해킹 조직인 '블루노로프(APT38)'와 '라자루스' 등이 광범위한 사이버 공격을 벌여 왔으며 올해에도 사이버 공격에 적극적으로 나설 것이라 전망했다.
[이미지출처=아시아경제DB]
채용을 위장한 해킹 공격도 이뤄지고 있다.
8일 이스트시큐리티 시큐리티대응센터(ESRC)는 입사 지원서 등을 가장한 피싱(phishing) 이메일을 통해 록빗(Lockbit) 랜섬웨어와 비다(Vidar) 악성코드가 유포되고 있다며 주의를 당부했다.
랜섬웨어(Ransomware)란 몸값을 의미하는 랜섬(Ransom)과 소프트웨어를 의미하는 웨어(Ware)의 합성어다. 해커들은 이를 통해 파일이나 시스템을 먹통으로 만든 후 이를 해제하는 조건으로 돈을 요구한다.
[사진제공=ESRC]
[사진제공=ESRC]
이번 랜섬웨어 공격의 주요 대상은 공기업이었다. 채용 공고를 올린 기업의 인사 담당자에게 "채용 공고를 보고 연락드린다", "면접이나 출근은 어떤 시간에도 가능하다" 등의 메시지와 함께 입사지원서처럼 보이는 압축파일을 메일에 첨부했다.
압축파일을 내려받은 뒤 메일 본문에 적힌 비밀번호로 잠금을 해제하면 한글 파일이나 엑셀 파일 아이콘이 보인다. 이는 아이콘만 변경한 'exe' 실행파일이다. 파일의 아이콘을 변경해 내려받기를 유도하는 것이다.
입사지원서를 확인하고자 해당 파일을 실행하면 컴퓨터에 랜섬웨어가 심어진다.
이용자의 컴퓨터 내에 있는 로컬 드라이브나 연결된 네트워크 공유 드라이브, 공유 폴더들을 모두 암호화하고 확장자를 '록빗'으로 바꿔버린다. 파일 복구를 어렵게 막을 뿐만 아니라 랜섬노트를 생성하고 바탕화면도 바꾼다. 그제야 이용자는 자신의 컴퓨터가 랜섬웨어에 감염된 사실을 알게 된다.
또 다른 공격도 있다. 동일하게 입사지원서를 가장해 정보 탈취 악성코드인 '비다' 악성코드 변종을 배포하는 공격이다. 이용자가 이 파일을 실행하면 이용자의 컴퓨터가 외부에 접속되고 일련의 프로그램들이 컴퓨터에 설치된다. 이후 해커가 컴퓨터에 저장된 여러 정보를 탈취하게 된다.