SK인포섹이 코로나19 관련 악성메일 침해지표(IOC)를 공개했다. 지난달 초부터 한 달간 코로나19를 악용한 피싱 인터넷주소(URL)만 3만4000개에 달하는 것으로 나타났다.
침해지표는 해킹 공격에 나타나는 침해 흔적을 말한다. 해커가 악성코드 유포와 경유를 위해 사용하는 도메인을 비롯해 악성코드 해시, 공통보안취약점공개항목(CVE) 등 정보가 포함된다. 기업은 이 같은 침해지표를 활용해 보안 시스템 정책을 설정할 수 있다.
SK인포섹 보안관제센터 '시큐디움센터'가 지난 3월 초부터 4월 첫째 주까지 탐지·차단한 악성메일은 모두 112개로 집계됐다. 공격에 악용된 인터넷 프로토콜(IP)은 5232개, 피싱 URL은 3만4000개였다. 이 가운데 현재까지 남아 있는 피싱 URL은 302개다.
실제 확산한 악성메일 수는 이를 크게 상회할 것으로 추정된다. SK인포섹 관계자는 “이번 결과는 1600여곳 원격관제 고객 가운데 악성메일 보안서비스를 받는 곳에 한정한 숫자”라면서 “공격에 사용된 IP와 URL 규모를 고려할 때 실제 악성메일 공격은 훨씬 더 광범위하게 이뤄졌을 것”이라고 경고했다.
SK인포섹이 차단한 악성메일은 이메일 계정 총 36개를 통해 발송된 것으로 드러났다. 세계보건기구(WHO)를 사칭하거나 글로벌 금융사를 사칭한 계정도 발견됐다. 발신자 IP를 속이기 위해 세계보건기구 각 지역 지부를 경유한 사례까지 포착됐다.
피싱 URL은 지난 3월 31일에 2만5000개로 급증했다. 이날은 미국 백악관이 코로나19 확산으로 인한 대규모 사망 가능성을 언급한 시점이다.
김성동 SK인포섹 침해사고대응팀장은 “악성메일 공격은 사회 이슈에 관한 불안 심리를 이용하는 경우가 많다”면서 “개인 스스로 발신자가 불분명한 메일을 열지 않는 것이 중요하고 기업에서도 적절한 메일 보안 체계를 갖춰야 한다”고 말했다.
오다인기자 ohdain@etnews.com