보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

[디지털데일리 김보민기자] 이번 주 정보기술(IT) 업계를 강타한 소식을 꼽아보자면 국가정보자원관리원(이하 국정자원) 화재를 빼놓을 수 없다. 주요 행정서비스가 마비된 데다 공무원 업무 전용 저장소 'G-드라이브'까지 전소됐다는 소식이 전해지면서, 정부의 대응 역량이 심판대에 올랐다는 평가까지 나오고 있다.

사이버 공격자들도 이러한 혼란을 틈타 피싱을 비롯해 다양한 사기성 위협을 가하기 시작했다. 국정자원 화재뿐만 아니라 추석 연휴를 미끼로 사용자를 속이는 기법도 주의해야 한다는 경고가 이어지고 있다. 북한과 중국 등 국가 배후 공격 또한 거세지고 있다는 전문가 경고도 제기됐다.

◆ 국정자원 사태 노린 '사기 문자' 기승…"의심시 누르지 마세요"

과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 최근 국정자원 화재 이후 기관을 사칭한 피싱 위협이 증가하고 있다고 1일 경고했다.

기승을 부리는 공격 기법은 '스미싱'으로 확인됐다. 스미싱은 문자메시지와 피싱의 합성어로, 악성 애플리케이션 주소가 포함된 휴대폰 문자(SMS)를 대량 전송한 뒤 설치를 하도록 유도하는 것이 특징이다. 인터넷주소 바로가기(URL) 등을 누르게 되면, 개인정보는 물론 금융 정보까지 탈취 당할 위험이 있다.

정부는 이번 국정자원 화재와 관련된 안내 문자와 사회관계망서비스(SNS) 안내문에는 URL이 포함돼 발송되지 않는다고 밝혔다. 안내 메시지에 '[국제발신]', '[국외발신]' 등의 문구가 포함된 경우 또한 스미싱일 가능성이 높아 절대 누르지 말아야 한다고 강조했다.

스미싱으로 의심되는 문자를 받았거나, 문자 내 URL을 누른 경우에는 24시간 무료 운영되는 KISA '118상담센터'로 신고해 상담을 받을 수 있다. 정부는 1일부터 각 통신사 명의로 '정부시스템 장애 관련 스미싱 피해예방 문자'도 발송해 경각심을 높일 계획이다.

◆ 공용 와이파이 뚫고 데이터 탈취…주의할 보안 수칙은?

추석 황금연휴를 맞아 여행길에 오르는 이들이 늘어나고 있다. 그러나 공격자들도 이러한 '틈새'를 노린 위협 기법을 고도화하고 있다. 보안업계에서는 추석 연휴를 맞이해 개개인이 보안 수칙을 지켜 이러한 위협에 대응해야 한다고 입을 모은다.

대표적으로 서프샤크(SurfShark)는 추석 여행 대목을 노려 위치정보시스템(GPS)·인공지능(AI)·여행 할인을 통로로 위협이 가해질 수 있다고 지난 2일 경고했다. 특히 ▲GPS 앱 사용 ▲AI 기반 숙박 사기 ▲가짜 여행 상품 ▲무료 공용 와이파이(Wi-Fi) 사용 ▲온라인 영화 시청 ▲급한 여행 앱 다운로드 등을 조심해야 한다고 강조했다.

특히 공용 와이피이를 데이터 탈취 통로로 악용하는 공격자가 늘어난 만큼 주의가 필요하다고 밝혔다. 무료 와이파이의 경우 휴게소, 호텔 로비, 기차역 등 어디서나 이용이 가능한데 해커들은 이를 표적 삼아 계정 정보와 이메일, 비밀번호 등 민감 데이터를 가로채려 시도하고 있다.

아울러 급하게 여행 앱이나 할인 정보 앱을 설치하는 경우, 과도한 추적 권한을 허용할 수 있어 개인정보 침해 가능성을 배제할 수 없다. 서프샤크는 기기 속도를 저하시키거나 스팸을 생성할 가능성도 있어 주의가 필요하다고 말했다.

◆ 미국 빅테크만 표적? 北 IT 취업, 대상 국가·산업 확장

북한은 IT 직원으로 위장 취업해, 빅테크 및 기술 기업의 내부 정보를 빼가거나 정보유출을 빌미로 금전을 요구하는 기법을 수행해왔다. 그간 이러한 위협을 가장 많이 받은 곳으로는 '미국'이 있었는데 최근 대상 국가와 산업이 확장되고 있다는 보고가 나왔다.

옥타 위협인텔리전스는 지난달 30일(현지시간) "북한의 IT 근로자 사기가 원격 인력을 고용하는 모든 산업을 위협하고 있다"며 "이러한 위협은 미국과 기술 분야에만 집중된 것이 아닌 금융·의료·공공 등 점점 더 많은 국가의 전문 서비스업으로 확장되고 있다"고 평가했다.

최근 북한 위장 취업자가 가장 관심을 보이는 산업군으로는 금융과 의료가 꼽혔다. 옥타는 "결체 처리 담당자 등 원격으로 근무할 수 있는 자리에 지원하는 경우가 늘고 있다"며 "북한은 지원, 면접, 업무 자체가 원격으로 가능하다면 그 기회를 놓치지 않을 것"이라고 진단했다. 한국은 미국과 비교했을 때 원격 근무를 선호하는 기업이 많지 않아, 관련 피해가 적은 것으로 전해진다.

◆ 중국 연계 해킹조직, 주요국 대사관·외교부 표적 위협

공격 난도를 높이고 있는 곳은 북한뿐만이 아니다. 중국 연계 해킹조직으로 알려진 '팬텀 타우루스(Phantom Taurus)'는 아프리카·중동·아시아 전역의 외무부, 대사관, 통신회사를 표적으로 삼고 있는 것으로 나타났다.

팔로알토네트웍스 유닛42에 따르면, 팬텀 타우루스는 정부기관 등을 공격해 외교 통신, 국방 정보, 정부부처 운영 데이터 등을 훔치려 시도하고 있다. 특히 APT27 등 다른 중국 해커조직들이 사용하는 운영 인프라를 활용 중인 것으로 확인됐다. 다만 새로운 악성코드를 사용하고 진화된 전술을 활용해 다른 조직과 차별화를 꾀한 것으로 나타났다. 그 중 하나가 '넷스타(NET-STAR)'라는 이름의 멀웨어다.

로렌 러커 딥워치 사이버보안 전문가는 "(해당 멀웨어는) 기존 바이러스 백신이 탐지할 수 있는 흔적을 남기지 않고 엔드포인트탐지및대응(EDR)과 같은 최신 보안 솔루션의 윈도 모니터링 기능을 비활성화한다는 특징이 있다"고 설명했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -