각국 정부들, 코로나 사태로 인한 경기 침체 우려해 각종 보상안 마련 중

[이미지 = iclickart]

문제의 메일은 코로나 바이러스와 관련하여 보상금을 지불해준다는 내용을 담은 것처럼 꾸며져 있다. 제목과 첨부된 문서의 이름도 비슷하다. 영어권에서는 ‘COVID-19 Payment’ 혹은 ‘COVID-19 Relief’ 등으로 발견되는 상황이다. 아직까지는 미국, 캐나다, 호주의 국민들이 주로 표적인 것으로 보인다.

캐나다의 국민을 겨냥한 이메일의 경우 캐나다의 수상인 쥐스탱 트뤼도(Justin Trudeau)가 전 국민을 대상으로 한 보상금 지불을 인허했으며, 첨부된 양식을 채워서 제출할 경우 2500 캐나다 달러를 받을 수 있다는 내용이 적혀 있다. 호주인을 겨냥한 메일에는 2500 호주 달러가 지급된다고 써 있다. 이 이메일을 받은 사람 중에는 경찰도 있는 것으로 알려져 있다.

첨부된 문서는 오피스 워드(Word)로, 비밀번호로 보호되어 있다. 다만 비밀번호는 이메일 내용에 포함되어 있어 누구나 열 수 있도록 만들어져 있다. 사용자가 이 문서를 열 경우, “매크로를 활성화시키라”는 내용의 알림 메시지를 받는다. 매크로를 활성화시킬 경우 결국 제우스 스핑크스가 설치된다.

제우스 스핑크스는 보안 업체나 전문가에 따라 지로더(Zloader)나 터돗(Terdot)이라고도 불리며, 2015년 처음 발견된 것이다. 주로 영국의 은행 고객들이 표적이었으나, 곧 북미, 브라질, 호주의 은행 고객들도 피해를 입기 시작했다. 온라인 뱅킹 크리덴셜 및 개인정보를 수집하는 것이 제우스 스핑크스의 주요 기능이다.

IBM에 따르면 제우스 스핑크스는 약 3년 동안 나타나지 않았던 멀웨어인데 돌연 등장했다고 한다. 현재 버전과 3년 전 버전 사이에 큰 차이가 있는 것도 아니라고 한다. “제우스 스핑크스의 활동이 2019년 12월에 살짝 드러난 바 있으나 매우 경미한 정도였습니다. 그러다가 지금 3월에 급작스럽게 늘어나고 있는데요, 아마 그 동안 시험 가동 기간을 가졌던 것으로 보입니다. 그런 차에 코로나 사태가 터져 공격자들로서는 부활하기 좋은 시기가 된 것이죠.”

여기에 더해 ‘COVID-19에 대응하기 위한 기업 보조금과 융자 가이드라인’이라는 제목의 피싱 이메일을 파이어아이가 발견했다. 이 가짜 이메일은 금융 업계 종사자들에게 전송되고 있었다. 첨부된 파일은 마치 미국중소기업청이 보낸 것처럼 꾸며져 있는데, 이를 열면 마이크로소프트 계정 크리덴셜을 수집하는 피싱 페이지로 안내된다.

파이어아이는 코로나 바이러스 사태 때문에 침체된 경제를 일으키기 위한 대책으로 많은 정부들이 보상안을 마련하고 있는데, 해커들 사이에서 이를 악용하거나 노리려는 움직임이 연구되고 있는 것이라고 경고한다. 한국 정부도 이러한 방안을 마련하고 있어, 조만간 한국어를 구사하는 해커들이 비슷한 시도를 할 것으로 예상된다.

파이어아이의 공식 발표 내용은 여기(https://www.fireeye.com/blog/threat-research/2020/03/stimulus-bill-social-engineering-covid-19-financial-compensation-schemes.html)서 열람이 가능하다.

​3줄 요약

1. 코로나 바이러스 보상금 관련 제목이 붙은 가짜 이메일, 영어권에서 돌아다니기 시작.

2. 열어서 첨부파일 다운로드 받으면 제우스 스핑크스라는 뱅킹 트로이목마가 설치됨.

3. 금융권 종사자들을 노린 ‘보조금 및 융자 가이드라인’ 문서도 유행하기 시작함.​ 

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87299&page=1&mkind=1&kind=​]​