SK인포섹의 시큐디움 센터 내부 전경/사진제공=SK인포섹지난달 초부터 한 달간 코로나바이러스 감염증(코로나19)을 악용한 악성 메일은 112개, 피싱 인터넷주소(URL)는 3만4,000개에 달하는 것으로 나타났다.
SK인포섹은 14일 코로나19 관련 침해지표(IOC)를 공개했다. 침해지표는 해킹공격에 나타나는 침해 흔적을 말한다. 해커가 악성코드를 유포하거나 경유하기 위해 활용하는 도메인을 비롯해, 악성코드 해시, 공통보안취약점공개항목 등에 대한 정보들이 담겨 있다.
SK인포섹의 보안관제센터 ‘시큐디움 센터’에서 지난달 초부터 이달 첫째 주까지 탐지·차단한 악성 메일은 모두 112개로 집계됐다. 또 공격에 사용된 IP 주소는 5,232개, 피싱 URL은 3만4,000개였다. 이중 현재까지 남아있는 URL은 302개다.
실제 확산한 악성메일 수는 이보다 더 많을 것으로 보인다. SK인포섹 관계자는 “이번 결과는 1,600여곳의 원격관제 고객 중에서 악성메일 보안서비스를 받고 있는 곳에 한정됐다”면서 “공격에 사용된 IP와 URL의 규모를 볼 때 실제 악성 메일 공격은 훨씬 더 광범위하게 이뤄졌을 것”이라고 설명했다.
악성메일은 총 36개의 이메일 계정을 통해 발송됐으며, 메일 제목에는 ‘ATTENTION COVID-19’, ‘WHO Message’ 등 코로나19에 대한 주의를 알리는 영어 어휘가 사용됐다. 또 세계보건기구(WHO)나 글로벌 금융회사를 사칭한 계정도 발견됐고, 발신자 IP를 속이기 위해 WHO의 각 지역 지부로 경유한 사례도 포착됐다.
아울러 SK인포섹은 지난달 31일 피싱 URL이 2만5,000개로 급증했다고 밝혔다. 이날은 미국 백악관이 코로나19로 인한 10만~20만명 사망 가능성을 언급한 날이다.
김성동 SK인포섹 침해사고대응팀장은 “악성메일 공격은 사회적 이슈와 관련한 대중의 불안심리를 이용하는 경우가 많다”며 “발신자가 불분명한 메일을 절대 열어보지 않는 것이 중요하며 기업에서도 적절한 메일 보안 체계를 갖춰야 한다”고 말했다.
