코로나19 악용한 공격 기승··· 원격근무자 보호 팁 4가지

등록일: 08.14.2020 15:26:42  |  조회수: 2307
원격근무자는 코로나바이러스와 관련된 피싱, 악성 도메인, 개조된 악성코드 등에 특히 취약할 가능성이 높다. 이들을 보호할 수 있는 4가지 팁을 살펴본다. 

코로나19를 악용한 타깃형 공격이 이어지고 있다. 가장 큰 보안 위협은 바로 COVID-19 관련 피싱 공격이다. 또한 코로나바이러스 키워드로 도메인을 등록해 클릭을 유도하는 악성 도메인도 위협 중 하나다.

미국 사이버보안 업체 아노말리는 최소 15개 이상의 COVID-19 관련 공격을 식별한 보고서를 최근 발표했다. 해당 공격들은 39개의 서로 다른 악성코드를 배포하고, 80개의 마이터 어택(MITRE ATT&CK) 기술을 사용한 11명의 위협 행위자와 연관돼 있었다. 

보고서에 따르면 1월에는 민간 혹은 공공 보건복지단체의 알림으로 보이는 전형적인 악성 이메일 공격이 주를 이뤘다. 2월에는 해당 공격들이 원격 액세스 트로이 목마(Remote Access Trojans, RAT)를 포함하도록 변경됐다. 

이스라엘 사이버보안 업체 체크포인트도 코로나19 관련 사기성 도메인이 증가하고 있다고 3월 보고했다. 체크포인트의 연구진들은 3월 중순 존스홉킨스대학교의 코로나19 추적 지도인 척하는 악성 애플리케이션을 찾아 공개한 바 있다.

이밖에 마이크로소프트는 최근 자사가 모니터링하는 네트워크에서 코로나19를 미끼로 한 다음과 같은 몇 가지 공격 경향이 두드러졌다고 언급했다. 

• 모든 국가에서 최소한 1개 이상의 COVID-19 관련 사이버 공격이 있었다. 가장 많이 표적이 된 국가는 중국, 미국, 러시아였다. 
• 트릭봇(TrickBot)과 이모텟(Emotet) 악성코드가 개조 및 수정을 거쳐 재사용되고 있다.
• COVID-19 관련 악성 첨부파일 및 URL이 포함된 이메일은 약 6만 개에 달한다. 
• 공격자들은 악성 이메일이 받은 편지함에 들어갈 수 있도록 공식 기관을 사칭하고 있다. 
• 스마트스크린(SmartScreen)은 1만 8,000개 이상의 COVID-19 관련 악성 URL 및 IP 주소를 추적했다. 
• 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격증명을 수집하려는 대규모 피싱 공격을 막아냈다. 
• 공격자들이 의료기관을 표적으로 삼고 있다. 이에 따라 마이크로소프트는 '어카운트가드 위협 알림 서비스(AccountGuard threat notification service)'를 의료기관 및 인권단체에 무료 제공하고 있다.  

미국 보안전문업체 피시랩스에 따르면 사이버 범죄자들이 COVID-19 관련 음성메일 알림을 악용해 사람들을 속여 로그인을 유도하고 자격증명을 탈취하고 있다. 보안 솔루션 업체 트러스트웨이브 또한 COVID-19 관련 BEC(Business Email Compromise) 사기가 증가하고 있다고 발표했다. 영국의 국립사이버보안센터(National Cyber Security Centre)도 공격자가 원격 액세스 및 개인 사용자 진입 지점까지 표적으로 삼았다고 밝혔다. 

코로나19 관련 공격으로부터 원격근무자를 보호하는 방법 
직원과 네트워크가 표적이 되지 않도록 하려면 어떤 조치를 취해야 할까?

1. 엔드포인트를 보호하라: 마이크로소프트 디펜더 ATP(Microsoft Defender ATP)를 활성화한다. 윈도우 10 E5(Windows 10 E5) 라이선스나 윈도우 365 엔터프라이즈(Microsoft 365 Enterprise) 라이선스 또는 서드파티 엔드포인트 보호 툴과 함께 사용할 수 있다. 여기에는 가정용 디바이스도 포함된다. 

2. 익스체인지 및 이메일에 멀티팩터 인증(Multi-factor Authentication)을 활성화하라: 마이크로소프트가 코로나19 여파로 인해 익스체인지 온라인의 고급 인증 지원 계획을 연기했는데, 이는 동의할 수 없는 결정이다. 공격자는 오피스 365 표적의 POP, IMAP 및 기본 인증을 추적할 것이고, 비밀번호 스프레이 공격과 비밀번호 재사용으로 사용자 네트워크를 침입할 것이다. 이것이 기본 인증이나 레거시 인증을 배제하고 현대적인 인증 방식을 지원해야 하는 이유다. 또한 조건부 액세스 정책을 사용하여 오래되고 취약한 인증 방법을 차단해야 한다.

전자메일에서 MFA를 사용하면 해당 기업을 손쉽게 공격할 수 없다. 또한 사무실의 고정 IP 주소에서 로그인하는 모든 사람이 MFA 프롬프트가 표시되지 않도록 설정할 수 있다. 이를 통해 이 보안 기능이 원격 진입 지점을 중점적으로 보호할 수 있도록 한다. 이밖에 조건부 액세스 규칙을 통해 지리적인 로그인 제한을 추가하여 네트워크를 보호하는 방법도 고려할 수 있다. 

3. 회사 및 개인 메일함에 이메일 필터링을 적용하거나 보안 상태를 확보하라: 오피스 ATP든 다른 필터링 서비스든 받은 편지함의 피싱 공격을 보호하고 있는지 확인해야 한다. 받은 편지함은 점점 더 공격 대상이 되어가고 있다. 

4. 새로운 사례를 배우고 공유하기 위해 다른 리소스를 활용하라: ‘코로나19 사이버 위협 연합(COVID-19 Cyber Threat Coalition)’라는 이름 아래 여러 보안 연구원들이 위험과 위협을 공유하고자 함께 뭉쳤다. 이를 통해 매주 간추린 소식을 확인하거나 슬랙 채널에 가입해 정보와 리소스를 공유할 수 있다.

아래는 코로나19 사이버 위협 연합이 제공한 네트워크 방화벽 규칙에 사용할 수 있는 악성 도메인 및 URL의 마스터 목록이다. 

<출처 : CIO KOREA>



이민법

사람찾기

상법 · 소송