공유하기

페이스북
X
카카오톡
주소복사

“마스크 판매” 메일 열어봤다 낭패…’코로나19’ 악성메일 주의보

배근미 기자 (athena3507@dailian.co.kr)
입력 2020.05.31 06:00 수정 2020.05.31 03:49

금보원, 코로나 관련 이메일 680만건 분석 결과 7.3만건 악성메일 확인

코로나 악용해 고객정보 등 탈취 시도…WHO 사칭해 비트코인 요구도

국내 타깃 APT 위협그룹 코로나19 관련 공격 타임라인 ⓒ금융보안원 국내 타깃 APT 위협그룹 코로나19 관련 공격 타임라인 ⓒ금융보안원

최근 신종 코로나바이러스 감염증(코로나19)을 이용한 사이버공격이 급증하고 있어 이용자들의 각별한 주의가 요구되고 있다. 해킹그룹들이 마스크 판매나 확진자 동선과 같은 이메일을 보내거나 모바일 앱을 통해 악성코드를 유포해 고객 정보 탈취를 시도하는 사례가 확인되고 있어서다.


31일 금융보안원이 발표한 ‘코로나19 금융부문 사이버 위협 동향’ 보고서에 따르면 국내에서 코로나19가 본격화된 3월 중순부터 4월까지 금융보안원 산하 금융보안관제센터가 코로나19 관련 이메일 680만여 건을 분석한 결과 약 7만3000건의 악성 의심 이메일이 발견됐다.


이 보고서에 따르면 악성 의심 이메일 10건 중 9건(6만5814건)은 ‘마스크 판매’로 위장한 피싱사이트 메일로 나타났다. 사기범들은 마스크 판매 위장 사이트를 개설한 뒤 불특정 다수의 피해자들에게 대량의 스팸메일을 발송했다. 이를 통해 마스크 할인 등을 앞세워 주문을 유도하는 방식으로 신용카드 정보 등을 가로채는 수법을 사용했다.


또 세계보건기구(WTO)를 사칭한 암호화폐 기부 요청 등 금융사기 시도도 확인됐다. 기부요청 메일은 WTO가 진행하는 코로나19 대응을 위한 펀드 마련을 사칭해 기부를 요청했으며, 공식 기부 사이트와는 달리 비트코인과 같은 암호화폐를 요청하는 방식을 썼다.


아울러 첨부파일을 이용해 악성코드를 유포하거나 금융기관을 사칭하는 피싱사이트를 개설한 사례도 함께 보고됐다. 코로나19로 악화된 경제상황과 관련해 대출한도를 증액하거나 상환 연장, 저금리대출 등 지원대책을 안내하면서 피싱사이트로 유도하는 수법이다. 해당 사이트에는 피해자 이름과 주소, 전화번호, 카드정보를 입력하게 돼 있으며, 입력한 정보가 공격자에게 전송된다.


이같은 사이버 공격의 배후로는 4개 APT 해킹그룹이 지목됐다. 한국수력원자력 해킹 공격의 배후로 알려진 ‘김수키’를 비롯해 중국 정부의 지원을 받는 것으로 추정되는 ‘톤토’, 북한 관련 주제로 스피어피싱 공격을 하는 ‘코니’, 택배 회사를 사칭해 악성앱을 유포하는 ‘마카오’다. APT(Advanced Persistent Threat, 지능형지속위협) 그룹이란 조직이나 기업을 표적으로 정한 뒤 장기간에 걸쳐 다양한 수단을 총동원하는 지능적 해킹 그룹이다.


악성 의심 메일이 발송된 IP주소는 총 107개 국가로, 발송량이 가장 많은 국가는 터키(62%)인 것으로 나타났다. 이어 미국(10%)과 포르투갈(7%) 순으로 집계됐다. 보안원 측은 악성 의심 메일 대부분을 차지하는 마스크 판매 사기 관련 메일이 터키에서 발송된 것으로 보고 있다.


보안원 측은 이같은 공격 시도에도 불구하고 현재까지 금융회사에 심각한 위협이 되는 사례는 없는 것으로 파악하고 있다. 일선 금융회사가 스팸메일 차단 등 이메일 보안 체계와 망분리 환경 구축을 통해 악성메일에 대응하고 있고 보안원이 매년 진행하는 ‘사이버 침해사고 대응훈련’ 등을 통해 대응체계를 지속적으로 개선한 점이 영향을 미쳤다는 분석이다.


김영기 금융보안원장은“최근 주요 APT공격 그룹들이 전 세계적으로 유행하는 코로나19를 사이버 공격에 이용하는 등 신종 사회공학적 기법이 수반되고 있다”면서 “금융권이 코로나 19를 악용한 사이버 위협에 선제적인 대응을 할 수 있도록 적극적으로 지원할 것”이라고 밝혔다.

배근미 기자 (athena3507@dailian.co.kr)
기사 모아 보기 >
0
0

댓글 0

로그인 후 댓글을 작성하실 수 있습니다.
  • 최신순
  • 찬성순
  • 반대순
0 개의 댓글 전체보기