5월 말부터 6월까지 해커들의 공격은 이용자들의 가장 큰 관심사인 '긴급재난지원금' 사칭에 집중됐다. 해커들은 무료 소프트웨어를 원하는 이용자의 심리를 노리고 악성코드가 섞여 있는 프로그램을 인터넷 공개 자료실에 업로드하는 치밀함을 보여주기도 했다.
[사진=게티이미지뱅크 제공]
5월에는 코로나19 위기 극복을 위한 긴급재난지원금 신청이 지난 5월 11일부터 시작되면서 '긴급재난지원금 조회 및 안내'를 사칭한 스미싱 공격이 우후죽순처럼 등장했다.
처음 발견된 긴급재난지원금 사칭 스미싱 공격은 기존 스미싱 공격자가 주로 사용하던 택배 사칭 메시지를 그대로 재활용했다.
발견된 스미싱 문자에는 '주소가 불분명하여 배달이 불가능하다'는 택배 사칭 내용이 적혀있으며, 문자에 첨부된 인터넷주소(이하 URL)를 클릭하면 공격자가 미리 제작해둔 가짜 '정부 긴급재난지원금 신청' 사이트로 이동된다.
만약 사용자가 가짜 긴급재난지원금 신청 사이트에 자신의 개인정보를 입력 후 인증번호 요청 버튼을 클릭하면, 입력된 개인정보는 고스란히 공격자에게 넘어가게 된다.
처음에는 어설펐지만, 5월 말부터는 지자체의 긴급재난지원금 사칭이 급격히 정교해졌다.
공격자가 보낸 스미싱 문자메시지 내 URL을 실행하면 휴대폰 본인인증을 위장한 피싱 사이트가 나타난다. 만약 사용자가 속아 피싱 페이지에 개인정보 입력 후 ‘인증번호 요청’ 버튼을 누르면 입력한 개인정보(이름, 성별, 생년월일, 휴대폰 번호 등)가 즉시 공격자에게 전송된다.
피싱 사이트는 실제 휴대폰 본인인증 화면과 매우 유사하고, 정상 인증 과정과 유사한 기능을 수행하기 때문에 사용자가 피싱 사이트임을 인지하기 어렵다. 탈취된 개인정보는 보이스피싱이나 금융정보 탈취 시도 등에 악용된다.
이밖에 '국민 건강 검진 통지' 메시지를 사칭한 스미싱이 극성을 부리기도 했다.
6월에는 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별적으로 유포되기도 했다. 악성 파일은 '시력 보호 프로그램'부터 '한컴 오피스', '마이크로소프트 오피스', '캐드'까지 다양한 프로그램을 사칭하고 있었다.
해커가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 삽입하고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 관련 기능을 추가했다.
이번 악성 파일 유포의 배후에는 북한 정부의 후원을 받는 해킹그룹 '라자루스(Lazarus)'가 있는 것으로 조사됐다. 국내에선 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼았고, 해외에선 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 삼았다.
마지막으로, 올 상반기 악성코드를 활용한 해커들의 공격은 현재 진행형이란 점을 숙지해야 한다. 해커들의 공격으로 개인정보 유출 또는 금전적인 손해를 입지 않도록 악성코드 감지를 위한 백신을 설치하고 피해 예방을 위한 주의를 기울이는 등 관련된 노력이 필요한 시점이다.
처음 발견된 긴급재난지원금 사칭 스미싱 공격은 기존 스미싱 공격자가 주로 사용하던 택배 사칭 메시지를 그대로 재활용했다.
발견된 스미싱 문자에는 '주소가 불분명하여 배달이 불가능하다'는 택배 사칭 내용이 적혀있으며, 문자에 첨부된 인터넷주소(이하 URL)를 클릭하면 공격자가 미리 제작해둔 가짜 '정부 긴급재난지원금 신청' 사이트로 이동된다.
만약 사용자가 가짜 긴급재난지원금 신청 사이트에 자신의 개인정보를 입력 후 인증번호 요청 버튼을 클릭하면, 입력된 개인정보는 고스란히 공격자에게 넘어가게 된다.
처음에는 어설펐지만, 5월 말부터는 지자체의 긴급재난지원금 사칭이 급격히 정교해졌다.
공격자가 보낸 스미싱 문자메시지 내 URL을 실행하면 휴대폰 본인인증을 위장한 피싱 사이트가 나타난다. 만약 사용자가 속아 피싱 페이지에 개인정보 입력 후 ‘인증번호 요청’ 버튼을 누르면 입력한 개인정보(이름, 성별, 생년월일, 휴대폰 번호 등)가 즉시 공격자에게 전송된다.
피싱 사이트는 실제 휴대폰 본인인증 화면과 매우 유사하고, 정상 인증 과정과 유사한 기능을 수행하기 때문에 사용자가 피싱 사이트임을 인지하기 어렵다. 탈취된 개인정보는 보이스피싱이나 금융정보 탈취 시도 등에 악용된다.
이밖에 '국민 건강 검진 통지' 메시지를 사칭한 스미싱이 극성을 부리기도 했다.
6월에는 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별적으로 유포되기도 했다. 악성 파일은 '시력 보호 프로그램'부터 '한컴 오피스', '마이크로소프트 오피스', '캐드'까지 다양한 프로그램을 사칭하고 있었다.
해커가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 삽입하고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 관련 기능을 추가했다.
이번 악성 파일 유포의 배후에는 북한 정부의 후원을 받는 해킹그룹 '라자루스(Lazarus)'가 있는 것으로 조사됐다. 국내에선 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼았고, 해외에선 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 삼았다.
마지막으로, 올 상반기 악성코드를 활용한 해커들의 공격은 현재 진행형이란 점을 숙지해야 한다. 해커들의 공격으로 개인정보 유출 또는 금전적인 손해를 입지 않도록 악성코드 감지를 위한 백신을 설치하고 피해 예방을 위한 주의를 기울이는 등 관련된 노력이 필요한 시점이다.
