'신종코로나 예방법' 피싱 메일 열지 마세요

"신종코로나바이러스 감염증 정보 안내" 미끼로 악성코드 담은 첨부파일 발송, 정보탈취 노려

해킹

신종코로나바이러스 감염증(신종코로나) 예방에 관심 갖는 컴퓨터 이용자를 노려 컴퓨터 바이러스를 퍼뜨리는 사례가 등장했다.

IBM 엑스포스(X-Force) 팀과 카스퍼스키(Kaspersky) 팀은 최근 사이버 공격자들이 신종코로나 감염 예방법을 담은 것으로 위장한 피싱 이메일을 대량 전파하고 있다고 발표했다.

IBM 시큐리티

엑스포스 팀에 따르면 악성 이메일 대부분은 일본어로 작성됐다. 공격자가 일본을 타깃으로 메일을 작성했거나 스스로 일본어 구사 능력을 지닌 것으로 추정된다.

메일 제목에는 현재 날짜와 '알림', '긴급' 등 단어가 포함됐고, 본문은 일본의 장애인 복지단체가 보낸 것처럼 꾸며졌다. 신종코로나가 일본 기후현 또는 오사카, 돗토리 등 지역에서 발생했다는 등 거짓 정보를 담았고, 하단에 보건 관련 기구의 메일 주소 등 연락처를 담았다.

엑스포스 팀 관계자는 해당 메일이 일본을 노린 점에 대해 "신종코로나 감염이 아시아 지역에 집중된 점을 악용한 것으로 보인다"고 설명했다.

가짜 이메일에 첨부한 파일은 금융정보 탈취에 주로 쓰는 멀웨어의 일종 '이모텟'(Emotet)이 심어져 있는 것으로 파악됐다. 첨부 파일을 내려받아 실행하면 오피스 365 메시지가 나오면서 "내용을 제대로 열람하려면 특정 기능을 활성화하라"는 안내를 보여 준다. 사용자가 이를 수락하면 프로그램은 컴퓨터에 정보 탈취 프로그램을 설치, 사용자가 입력하는 로그인 정보와 민감한 금융정보를 빼돌린다.

카스퍼스키

카스퍼스키도 신종코로나 관련 동영상을 첨부한 것으로 위장한 피싱 메일을 보고했다. 카스퍼스키에 따르면 가짜 메일에는 PDF(문서), MP4(동영상), DOC(마이크로소프트 워드) 등이 첨부됐고, '신종코로나 관련 동영상 자료가 첨부됐다'고 속여 파일을 내려받게 한다.

해당 가짜 이메일 속 파일은 이모텟이 아닌 트로이목마, 웜 등을 담고 있다. 트로이목마란 상대방 컴퓨터에 원격조종 기능을 담은 특정 파일을 심은 뒤 공격자가 뜻하는 대로 상대방 컴퓨터를 조작해 정보를 빼돌리거나 컴퓨터를 무력화하는 컴퓨터 바이러스를 이른다. 웜은 이름처럼 벌레와 비슷하게 감염된 컴퓨터를 거쳐 네트워크로 연결된 다른 컴퓨터에까지 옮겨가 네트워크를 손상시키고 파일을 암호화하곤 한다.

카스퍼스키 측은 "이메일 속 악성코드 종류가 다양해 사업 마비, 데이터 유출 등 피해도 다양하게 발생한다"면서 "추후 인간의 본능적 공포를 자극하는 '신종코로나', '우한 폐렴' 등을 미끼로 사이버 공격이 이어질 수 있다"고 설명했다.