연결 문제를 해결하는 팝업처럼 보이는 화면에 속은 직원 PC에 감시 소프트웨어가 설치되고 있다는 분석이 나왔다.

최근 등장한 가짜 줌 회의 사기는 조용히 직원의 윈도우 PC에 감시 소프트웨어를 설치한다.

보안 기업 멀웨어바이트(Malwarebytes) 연구진에 따르면, 사기에 속은 직원은 실제와 매우 유사하게 꾸며진 줌 화상 회의 화면으로 이동하게 된다. 잠시 뒤 ‘업데이트 가능’이라는 자동 카운트다운이 실행되며 사용자 동의 없이 악성 설치 파일이 다운로드된다.

설치되는 프로그램은 기업이 업무용 PC에서 직원 활동을 기록할 때 사용하는 상용 모니터링 도구 테라마인드(Teramind)의 은밀한 변형 버전이다. 대다수 안티멀웨어 솔루션은 정상 애플리케이션으로 오인해 탐지하지 못할 가능성이 있다. 그러나 공격자에게 넘어가면 상황은 달라진다. 키 입력을 기록하고, 일정 간격으로 화면을 캡처하며, 방문 웹사이트와 실행 애플리케이션을 추적한다. 클립보드 내용과 이메일, 파일 활동도 수집한다.

줌은 직원이 동료, 관리자, 고객으로부터 회의 초대를 받는 데 익숙하다는 점 때문에 오랫동안 공격자가 악용해 온 서비스다.

가짜 줌 회의 사기는 대개 피싱 이메일이나 문자 메시지로 시작된다. 따라서 CSO는 가장 먼저 직원을 대상으로 한 보안 인식 교육을 준비해야 한다.

멀웨어바이트는 “회의 링크가 실제로 zoom.us 같은 공식 도메인으로 연결되는지 5초만 확인하는 습관만으로도 심각한 문제를 예방할 수 있다”라고 조언했다. 이번 캠페인에서 피해자를 유도한 가짜 사이트 주소는 uswebzoomus[.]com/zoom/이다.

보안 인식 교육 기업 노비포(KnowBe4)의 CIO 로저 그라임스는 지메일과 마이크로소프트 아웃룩을 통해 악성 줌 초대장이 전송되는 사례를 다수 목격했다고 밝혔다. 실제로 그라임스는 이달 초 온라인 일정표에 자동으로 추가된 초대장을 받았다. 제목은 “최종 통지: 급여 확인 조치 필요: …와의 회의”로, 주의를 끌도록 구성돼 있었다.

피싱 미끼의 주요 특징 가운데 하나는 즉각적인 조치를 요구하는 제목이다. 클릭 전에 생각할 시간을 주지 않기 위한 의도다. 일요일 오후에 도착했다는 점도 의심을 살 만한 요소였다.

그라임스는 직원이 예상하지 못한 일정 초대나 줌 회의를 신뢰해서는 안 되며, 특히 모르는 이름과 이메일 주소가 포함된 경우 더욱 주의해야 한다고 강조했다.

그라임스는 한 번도 해본 적 없는 행동을 요구하는 예상 밖의 메시지에는 극도로 회의적으로 대응해야 사기를 피할 수 있다고 설명했다. 이어 예상하지 못한 초대이면서 새로운 행동을 요구한다면, 메시지 외부의 신뢰할 수 있는 출처를 통해 사실 여부를 확인한 뒤 조치를 취해야 한다고 덧붙였다.

보안 인식 교육 기업 보세론 시큐리티(Beauceron Security)의 CIO 데이비드 시플리도 가짜 줌 초대 관련 교육이 필수적이라는 데 동의했다.

시플리는 “조사 결과 피싱 링크를 클릭하는 가장 큰 이유는 정상처럼 보였기 때문이거나, 유사한 내용을 예상하고 있었기 때문이었다”라고 말했다. 또한 인공지능 발전으로 피싱 메시지가 과거보다 훨씬 정교해졌고, 표적화 수준도 높아졌다고 분석했다.

또한 발신자, 제목, 링크 확인 같은 전통적 조언만으로는 충분하지 않다고 덧붙였다. 전체 응답자의 40%는 별다른 고민 없이 링크를 클릭하는 것으로 나타났다.

아울러 “이메일을 포함해 외부에서 메시지를 받을 수 있는 모든 수단에 대해 잠시 멈춰 생각하는 습관을 길러야 한다”며 “보낸 사람을 알고 있는지, 해당 인물로부터 메시지를 예상했는지, 어색한 부분은 없는지 스스로 점검해야 한다”라고 강조했다.

또 다른 교육 포인트로는, 줌 이메일 초대를 클릭한 뒤 소프트웨어 설치 등 새로운 동작이 발생하면 즉시 보고하도록 안내하는 것이 중요하다고 설명했다.

가짜 줌 초대에 대한 경고는 보안 기업뿐 아니라 미국 펜실베이니아 부동산 중개인 협회 등 다양한 기관에서 제기되고 있다. 지난해 10월, 이 협회는 다중 매물 등록 서비스(MLS), 리얼터닷컴, 질로우에 등록된 매물을 노린 사례를 경고했다. 구매 희망자가 매물에 관심을 보인 뒤 제안서를 제출하기 전 줌 회의를 요구하고, 전달된 링크를 클릭하면 PC나 스마트폰에 악성코드가 설치되는 방식이다.

비슷하게 지난해 여름에는 미국 버펄로대학교가 학생과 교직원에게 가짜 ‘줌 초대’ 링크가 교내 메일 계정으로 발송되고 있으며, 목적은 악성코드 설치라고 경고했다.

줌 역시 구직 제안 사기를 피하는 방법을 자사 블로그를 통해 안내한 바 있다.

공격 진행 방식

멀웨어바이트는 이번 블로그에서 구체적인 공격 시작 경로를 상세히 설명하지는 않았다. 그러나 피해자가 회의 초대를 수락해 가짜 사이트에 접속하면 줌 대기실과 유사한 화면이 나타난다. 동시에 해당 사이트는 누군가 접속했다는 사실을 공격자에게 알린다.

‘매튜 칼슨’, ‘제임스 휘트모어’, ‘사라 첸’이라는 이름의 가짜 참가자 세 명이 순차적으로 접속하는 것처럼 연출되며, 실제와 유사한 참가 알림음도 재생된다. 배경에서는 대화 음성이 반복 재생된다. 피해자가 별도 조작을 하지 않으면 다른 변화는 없다. 화면을 조작하려 하면 메인 영상 영역 위에 ‘네트워크 문제’ 경고가 고정 표시돼 음성 끊김과 영상 지연의 원인처럼 보이도록 한다. 잠시 뒤 ‘업데이트 가능’ 안내가 나타나면 문제 해결 절차처럼 인식되기 쉽다.

공격을 차단할 수 있는 시점은 단 한 번이다. 설치가 진행되려면 피해자가 내려받기 버튼을 직접 클릭해야 한다. 멀웨어바이트 연구·대응 담당 관리자 스테판 다식은 많은 직원이 자연스러운 조치로 받아들여 클릭할 가능성이 높다고 지적했다. 따라서 메시지 내 링크를 통해 줌을 업데이트하지 않도록 교육하는 것이 중요하다. 업데이트는 애플리케이션 내부 기능을 통해서만 진행해야 한다.

내려받기를 클릭하면 닫기 버튼이 없는 팝업이 화면을 차지하며 “업데이트 가능 — 새 버전을 내려받을 수 있습니다”라는 문구를 표시한다. 로딩 아이콘이 회전하고 5초에서 0초까지 카운트다운이 진행된다. 숫자가 0이 되면 브라우저는 사용자 동의 없이 파일을 자동 내려받는다. 동시에 화면은 마이크로소프트 스토어처럼 보이는 페이지로 전환돼 ‘줌 워크플레이스’가 설치되는 것처럼 표시된다. 사용자는 정상 설치가 진행 중이라고 인식하지만, 실제 감시 도구 설치 파일은 이미 다운로드 폴더에 저장돼 시스템을 침해한다. 해당 설치 파일에는 안티멀웨어 솔루션의 분석을 회피하는 코드도 포함돼 있다.

블로그는 “공격자가 자체 악성코드를 제작한 것은 아니다”라고 지적했다. 이어 “재부팅 이후에도 안정적으로 실행되도록 설계된 상용 제품을 배포했다. 다수의 전통적 악성코드보다 지속성이 높다”라고 설명했다.

이번 캠페인은 정교한 고도의 기술이 사용된 것이 아니다. 블로그에 따르면 새로운 해킹 기법은 사용되지 않았다. 공격자는 설득력 있는 가짜 줌 페이지를 만들고, 방문자가 의심할 틈이 생기기 전에 자동 내려받기가 실행되도록 설정했다. 가짜 마이크로소프트 스토어 화면으로 상황을 합리화했다. 클릭부터 설치까지 걸리는 시간은 30초가 채 되지 않는다. 줌 초대를 예상하고 있었고 마이크로소프트 설치 화면이 표시되는 것을 본 사용자라면 이상 징후를 인지하지 못할 가능성이 크다.

멀웨어바이트는 직원이 uswebzoomus 사이트에 접속한 사실을 확인한 경우, 해당 PC를 이미 침해된 것으로 간주하고 대응할 것을 정보보안 책임자에게 권고했다.

dl-itworldkorea@foundryco.com