[보안 따라잡기]⑬코로나19 악용한 악성코드도 진화

자료=안랩

[이데일리 이후섭 기자] 코로나19 사태가 장기화되면서 이를 악용한 사이버 공격도 끊이지 않고 있다. 광고성 문자메시지로 시작한 사이버 공격은 코로나19 관련 각종 정보를 위장한 악성코드로 진화된 형태를 보이고 있오 각별한 주의가 필요하다.

국내에서 코로나19 첫 확진자가 발생한 지난 1월 20일 이후 광고성 문자메시지가 기승을 부린데 이어 스미싱 문자도 1만여건에 달할 정도로 급증했다. 코로나19가 본격 확산세를 보이면서 코로나19를 악용한 사이버공격도 피싱 이메일, 악성코드로 진화되는 양상을 보이고 있다.

안랩시큐리티대응센터(ASEC)에 따르면 `실시간 코로나19 현황` 프로그램으로 위장한 악성코드, 특정 종교단체 비상연락처로 위장한 악성코드 등이 지속적으로 유포되고 있다. 실시간 코로나19 현황 프로그램으로 위장한 악성코드는 국내와 일본에서 유포되는 것이 확인됐다. 사용자를 현혹하기 위해 위장된 팝업 창이 뜬 사이에 사용자 몰래 악성파일을 다운로드하고 실행한다.

ASEC 분석팀은 코로나19의 집단 감염을 유발한 것으로 알려진 특정 종교단체 관련 문서로 위장한 악성코드 유포도 확인했다. 이 악성코드는 해당 종교단체의 비상연락처나 조직도라는 파일명과 엑셀(.xlsx)이나 파워포인트(.ppt) 문서 파일로 위장했다.

ASEC 관계자는 “코로나19와 관련된 문서 내용이나 파일 이름 등으로 위장한 악성코드들이 지난 2월 말부터 다양한 형태로 꾸준히 유포되고 있다”며 “초기 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어·다운로더 등 더 악의적인 형태로 확대되고 있다”고 설명했다. 백도어(Backdoor)는 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지 않고 운영체제나 프로그램 등에 접근할 수 있도록 만든 일종의 통로를 의미하는 것으로, 운영체제 인증이나 방화벽을 우회해 공격을 시도한다.

특히 최근에는 코로나19 예방법으로 위장한 악성코드, 코로나19 관련 매크로 악성코드, 웜(Worm) 악성코드 등이 전세계적으로 발견되고 있다. 코로나19 예방법으로 위장한 악성코드에는 주의사항이 스페인어로 작성돼 있다. 얼핏 보기에는 정상 문서처럼 보이지만 문서의 내부에는 매크로 스크립트가 존재하며, 이를 실행할 경우 악성 행위를 수행한다.

또 코로나19와 관련된 파일명으로 위장한 매크로 악성코드가 파워포인트(ppt) 형태의 파일로 유포되고 있다. 매크로 악성코드는 기존 실행파일이 아닌 엑셀, 워드와 같은 문서파일의 매크로 기능을 이용해 감염을 시도한다. 일반적으로 문서파일의 경우 실행파일을 다룰 때보다 주의를 덜 하는 경향을 노린 것이다.

코로나19 관련 웜 악성코드도 발견되고 있다. 웜은 자체적으로 동작하며 이메일 등을 통해 스스로 복제해 순식간에 대량으로 피해를 주는 악성코드다. ASEC는 “`Covid 19.lnk`라는 파일명의 웜 악성코드는 폴더 아이콘을 가장했으며, 실행하면 실제 폴더처럼 보이도록 Covid 19 폴더를 오픈한다”며 “해당 악성코드는 포빅스(Forbix) 웜 악성코드와 유사하며 실행되는 스크립트에 따라 추가 악성 행위를 수행할 수 있다”고 설명했다.

`Covid 19` 폴더로 위장한 악성코드의 파일 속성(자료=안랩)