전 세계적으로 코로나19(COVID-19) 대유행에 따라 경제사회가 급변하고 있다. 초기에는 중국에서 발원해서, 이란, 한국 등에서 코로나19가 확산하였으나, 이후 유럽, 미국, 남미 등으로 대확산되었고, 지금은 전 세계의 거의 모든 지역으로 확산하고 있다. 코로나19의 전염 확산에 따라 각국 보건당국은 사회적 거리두기(Social Distance), 손씻기, 위생관리 등을 계속해서 강조하고 있으며, 각국 정부는 경제지원 정책 추진으로 경제위기 상황을 극복하기 위해 국가 전반의 총체적인 역량을 집중하고 있다. 사회적으로는 코로나19는 비대면 사회로의 변화를 가속하여 재택근무, 온라인교육, 사회활동, 구매활동 등이 점차 일상화되는 변화를 겪고 있다.

 

한편 코로나19의 대유행을 이용한 사이버범죄자 활동이 증가하여 사이버상의 새로운 위협을 초래하고 있다. 최근 보안업체인 팔로알토(Paloalto)는 코로나19를 주제로 한 피싱공격 캠페인으로 정부 및 의료 기관을 대상으로 악의적인 공격이 출현하고 있다고 발표하였다. ⁽¹⁾팔로알토는 캐나다 정부 의료기관과 의료대학에 대한 랜섬웨어(EDA2 등), 미국 국방연구, 터키 정부기관, 독일 산업제조회사, 한국의 화학 회사, 일본의 연구소, 캐나다의 의료연구소 등을 대상으로 정보를 탈취하는 데 이용하는 말웨어(AgentTesla 등) 등을 발견하였다. 코로나19를 주제로 한 도메인 이름도 많이 증가하고 있다. 올해 1월에서 3월 사이에 도메인인 ‘Covid’, ‘Virus’, ‘Corona’ 등의 용어를 포함한 10만여 개의 신규 등록도메인을 분석한 결과, 이 중에는 2,000개 이상의 악성(Malicious) 도메인과 40,000개 이상의 고위험(High-risk) 도메인이 있었으며, 2월에서 3월 사이에는 악성 도메인 등록이 약 560% 증가한 것으로 나타났다.⁽²⁾또한, 신규 등록한 도메인 중에서 주요에 대한 280여만 개의 DNS 질의를 분석할 결과, 신규 등록한 도메인 이름 중에서 주요 15개 키워드(‘covid’, ‘covidvirus’, ‘covid19’ 등)의 고위험 비율이 평균적으로 약 40%에 달하는 것으로 조사되었다.⁽³⁾

 

이에 따라 본고에서 코로나19에 따른 위기상황이 사이버보안에 미치는 영향을 분석하고, 코로나19를 이용한 사이버범죄에 대응하기 위한 주요국의 대응전략을 살펴보고자 한다.

 

코로나19의 사이버보안 영향⁽⁴⁾

 

코로나19에 따른 사회경제시스템의 변화는 사이버보안 관련 영역에서 다양한 영향을 끼치고 있다. 첫째, 코로나19는 원격근무와 가상학습 관련 보안위험을 증가시키고 있다. 직장인들의 재택근무와 학생의 온라인 교육이 증가하면서 직장과 가정, 학교와 가정 간 가상사설망(VPN)을 이용한 영상회의 시스템의 활용이 증가하면서 영상회의시스템에 대한 보안 및 개인정보보호, 가용성 보장이 커다란 도전과제로 부상하였다. 기업이나 학교에서 설치된 VPN의 보안이 취약한 경우, 인터넷상에서 민감한 개인정보가 유출될 위험이 높아진다. 실제적으로 온라인 교육에서 사이버범죄자가 온라인 강의실을 침투하여 유해정보를 노출시키거나, 영상정보를 유출하는 사고 등이 발생하기도 하였다.

 

둘째, 코로나19 위기 상황은 사이버 공격에 대한 기존의 탐지 및 대응체계를 약화시킬 수 있다. 코로나19 대유행으로 조직에서 사이버보안 담당조직의 활동이 제약을 받게 되어 사이버사고 예방 및 대응의 민첩성이 떨어지고, 신속한 사이버 공격 탐지가 어려워질 수 있다. 사이버보안팀의 활동이 제한되면 적시

에 소프트웨어에 대한 위험 경고를 적시에 제공할 수 없고, 보안패치, 사고대응 지원 등의 활동도 어려워진다. 사이버보안 기업들은 평상시에 관련 기관과 위협정보 공유체계를 유지했으나, 코로나19 위기상황에서는 일반 기업들이 사이버보안 기업들을 통해 적시에 보안위험을 평가하고, 대응지원을 받기가 어려워질 수 있다.

 

셋째, 코로나19에 따른 원격근무 환경은 물리적 보안의 취약성을 심화시킨다. 직원들이 댁내에서 근무하게 되면, 가정에는 안정적인 전력공급시스템이나, 화재예방시스템 등 다양한 물리적 보안설비들이 직장보다 취약할 수 있고 물리적 접근통제도 미흡할 수 있다. 직원들이 댁내에서 또는 커피숍 등 공공장소 등에서 중요한 업무를 수행하는 경우에 컴퓨터 장비의 물리적 손상에 따른 데이터 유출, 정보기기의 도난 등의 위험도 증가할 수 있다.

 

넷째, 기업에 제품 및 서비스를 제공하는 공급망이 붕괴하여 핵심적인 보안기능이 중대한 중단을 초래할 수 있다. 조직에 제품 및 서비스를 제공하는 협력업체에서 코로나19 확진자 등이 발생하여 시설활용이 중단되고, 협력업체의 보안지원 직원이 격리되는 경우에 기업의 핵심적 보안서비스가 중단되거나, 심각한 기능 약화를 초래할 수 있다.

 

다섯째, 전 세계적으로 코로나19에 따른 일자리 상실에 따른 새로운 사람들이 사이버범죄에 가담할 수 있다. 전 세계적으로 기업들은 코로나19에 따른 재무적 위기에 대처하기 위해 인력을 최소화하고 있으며, IT 전문지식을 보유한 인력들도 예외가 아니다. 일자리를 잃은 수많은 사람이 코로나19를 역이용하여 사이버범죄를 통해 자신의 경제적 위기를 극복하려고 할 수 있다.

 

 

 

코로나19를 이용한 사이버위협 사례

 

코로나19가 전 세계적으로 대유행하면서 사이버 범죄자들은 코로나19를 교묘하게 악용한 피싱 공격, 랜섬웨어 등 사이버위협이 증가하고 있다. 코로나19가 확산되면서, 각국 보건당국은 코로나19의 위험을 알리고 간단한 대처방법 등을 지속해서 전파하고 있고, 사람들은 페이스북, 트위터, 카카오톡 등 SNS나 이메일을 통해서 전염병 대처를 위한 유익한 정보를 활발하게 공유하고 있다. 반면, 악의적 행위자들은 위기 상황을 이용하여 피싱 메일이나 랜섬웨어 등을 통해 이용자들은 위협하고 있다.

 

악의적인 행위자들은 사람들이 주로 이용하는 MS-Word, Excel, PowerPoint의 매크로(Macro)에 악성 코드를 삽입하여 이메일을 통해 전파하거나, 웹사이트에서 다운로드하도록 유도하여 악성 코드를 전파한다. 또는 보건당국의 코로나19 관련 내용을 위장한 스팸메일을 이용자들에게 전송해서 이용자들이 부주의한 상태에서 악성 코드가 삽입된 첨부 파일을 설치하도록 유도한다.

 

다음으로는 가짜 코로나19 지도를 이용하여 공격하기도 한다. 최근 발견된 거짓 코로나19 지도는 은밀하게 이용자의 패스워드를 탈취하고, 이용자의 암호화폐나 민감정보를 훔칠 목적으로 사용되고 있다.

 

최근 몇 년간 급증한 랜섬웨어도 코로나19를 이용한 공격유형으로 빈번히 등장하고 있다.

 

최근 MalwareHunterTeam 등 보안전문가들은 악성 코드에 감염된 시스템을 파괴하고, 컴퓨터의 마스터 부트 레코드(MBR)를 변경하는 지능화된 코로나19 관련 말웨어(COVID-19.exe)도 발견하였다. 이러한 말웨어에 감염되면 이용자의 컴퓨터에는 아래 그림과 같이 코로나바이러스의 모형도와 함께 인터넷 구성을 검사하라는 메시지가 나타난다.

 

 

국가 차원의 코로나19 관련 사이버위협 대응 동향

 

① 미국 CISA

 

미국의 사이버보안 및 기반시설 보호 전담기관인 CISA(Cybersecurity and Infrastructure Security Agency)는 미국의 코로나19 대유행에 따른 영향을 분석하고, 대응하기 위해 관계기관과 협력하고 있다. CISA는 코로나19 대응을 위해 연방정부기관과 협력하고, 민관협력체계를 통해 산업계, 의료기관과 대응 정보를 공유하고 있다. CISA는 코로나19 관련 악성코드가 연방정부 및 주정부, 주요기반시설 등의 핵심 인프라에 대한 중대한 피해를 끼칠 수 있을 것으로 예측하며, 주요기반시설 보호 및 공급망 보호, 조직의 사이버보안 방안을 제시하였다. 또한 CISA는 코로나19를 이용한 피싱 공격 및 거짓정보의 확산에 따른 직원 및 고객 보호를 위한 가이드도 함께 제시하였다.

 

 

[표 1] CISA의 코로나19 관련 사이버위협에 대응하기 위한 가이드
[출처: CISA⁽⁵⁾]

구분	주요 내용
주요기반시설 보호 활동	• 대응조정관을 지정하고, 책임이 있는 직원 지정 • 공식적인 직원 및 작업장 보호 서비스 구현 • 인적 보호 및 작업장 보호에 대해 직원 교육 • 유연한 근무지(재택근무 등) 및 근무시간 정책 수립 및 평가 • 조직의 운영과 임무수행 관련 필수기능, 상품 및 서비스 식별 • 잠재적인 업무감소 상황에서 핵심기능, 제품, 서비스를 지속해야만 하는 기간 결정 • 중요한 제품과 서비스의 공급업체를 식별하고 우선순위 지정 • 기업의 변화, 경제사회적 환경에 기초하여 목표, 영향, 활동을 조정하기 위해 준비활동 지속 평가 • 격리 및 완화전략에 대한 최신정보를 얻기 위해 연방정부, 주정부 등의 코로나19 사이트에 대한 모니터링 수행
공급망 보호 활동	• 코로나19로 운송물류 및 국제적 제조산업 붕괴가 공급망에 미치는 잠재적 영향 평가 • 위기상황 지속에 따른 공급망이 겪어야할 문제점 검토 • 붕괴상황을 완화하기 위해 대체 공급처, 대체 제품, 보존 수단 파악 • 주요 고객에게 문제점을 알리고, 문제점을 완화하기 위한 기업의 조치 사항을 알림
조직을 위한 사이버보안	• 원격접근시스템에 대한 보안성 확보 – 가상사설망(VPN) 및 기타 접근시스템의 보안패치 보장 – 비정상적인 활동에 대한 조기 탐지 및 경고를 위한 시스템 모니터링 개선 – 다중인증 기반의 시스템 구현 – 모든 기기에 적용된 침입차단시스템, 침입탐지시스템 등의 구성 적절성 보장 • 원격접근솔루션의 용량 시험 및 개선 • 운영연속성계획이나 사업연속성계획(BCP)의 최신상태 유지 • 재택근무자의 IT 지원 수단과 절차 등에 대한 인식 제고 • 분산환경에서 인력변동을 고려하기 위해 사고대응계획의 현행화
직원 및 고객을 위한 사이버보안 활동   직원 및 고객을 위한 사이버보안 활동	• 광고성 유도 이메일이나 첨부화일의 부주의한 클릭 방지 • 이메일에 개인정보나 금융정보를 노출하지 않도록 주의하고, 이러한 정보를 노리는 이메일 광고에 응답하지 않음 • 피싱에 대한 인식제고 및 대응활동을 위해 CISO의 “사회공학적인 방법 및 피싱 스캠 방지(Avoiding Social Engineering and Phishing Scams(6))” 팁 검토 • 연방공정거래위원회(FTC)의 코로나19 관련 스캠 방지를 위한 블로그(7) 검토 • 코로나19 관련 최신정보 및 사실을 파악하기 위해 공식적인 정부 웹사이트 등 신뢰할 수 있는 정보소스 이용

 

② EU ENISA

 

EU의 전역의 정보보호 전담기관인 유럽네트워크정보보호원(ENISA)은 금년 3월 코로나19 동안 보건의료 분야의 사이버보안을 위한 가이드를 제시하였다. ENIS는 코로나19 대유행에 따라 악의적인 행위자들이 피싱 캠페인과 랜섬웨어 공격을 개시했으며, 의료기관은 특별한 비상사태에 직면하여 취약한 상황에 직면했음을 설명하며, 코로나19 상황에서 의료기관을 취약하게 하는 요인과 사이버보안 지침을 제공하였다.

 

[표 2] ENISA의 의료부문의 코로나19 상황에서의 사이버보안 가이드
[출처: CCCS⁽⁸⁾]

구분	주요 내용
의료기관이 사이버공격에 취약한 이유	• 보호 마스크, 소독제 및 가정용 제품과 같은 특정 제품에 대한 높은 수요 • 이동성 감소 및 국경 폐쇄 • 이전의 경험과 계획과 무관한 원격근무에 대한 의존도 증가 • 일반 대중의 두려움, 불확실성 및 의심 증가
코로나19 상황에서의 의료기관의 사이버보안	• 조직의 의료진과 정보를 공유하고, 진행상황을 공유하고, 감염발생 시, 직원에게 네트워크 연결을 끊어 확산을 방지하도록 요청 – 위기상황에서도 보안캠페인을 시작하여의료기관 내에서 보안 인식 제고(병원 직원들이 의심스러운 이메일을 열지 않도록 주의) • 시스템이 손상된 경우 시스템의 모든 활동 중지 – 외부 드라이브 또는 의료기기에서 감염된 시스템 분리 – 네트워크에서 오프라인으로 전환 – 국가 CSIRT에 즉시 연락 • 효과적인 백업 및 복원 절차를 통해 사업연속성 보장 – 시스템 장애가 병원의 핵심서비스를 방해할 수 있는 경우, 사업 연속성계획(BCP)을 수립하고, 공급업체의 역할을 명확히 정의 • 의료기기에 영향을 미치는 경우 기기제조업체와 협력하여 사고대응 – 의료기기나 임상 정보시스템의 경우, 사고대응을 위해 공급업체와 협력 • 준비 조치로 네트워크 분할 고려 – 네트워크 분할을 실시하면 네트워크 영역 간 접근 제한, 네트워크 트래픽 격리 및 필터링이 가능

 

 

③ 캐나다 CCCS

캐나다의 사이버보안 전담기관인 CCCS(Canadian Center for Cyber Security)는 악의적인 행위자들의 코로나19를 이용한 피싱 공격과 말웨어 스캠 증가에 따른 우려가 증가하면서, 이용자들의 악성 코드로부터 기기를 보호하기 위한 방법과 안전한 사이버 이용을 위한 실용적인 방식을 제시하였다.

[표 3] CCCS의 코로나19를 이용한 위협에 대응하기 위한 가이드
[출처: CCCS⁽⁹⁾]

구분		주요 내용
이용자의 보호 방법	악의적인 이메일 대응	• 인터넷 주소 및 또는 첨부파일이 이메일 내용과 관련이 있는지 확인 • 이메일 발신자를 인지하고 있는지 확인 • 철자오류 등 검사 • 컴퓨터에서 바이러스 백신 또는 말웨어 방지 소프트웨어 사용
	악의적인 첨부파일 대응	• 보낸 사람의 전자 메일 주소에 유효한 사용자 이름과 도메인 이름이 있는지 확인 • 이메일 내용이 어조가 긴급한 경우 특별히 주의 • 예상치 못한 첨부파일이 있는 경우, 보낸 사람 확인
	악의적인 웹사이트 대응	• URL이 올바른지 확인 • 제공된 링크를 클릭하는 대신 검색 창에 URL을 직접 입력 • 하이퍼링크를 클릭해야하는 경우 링크 위로 마우스를 올려서 올바른 웹사이트로 연결되는지 확인
이용자의 안전한 사이버 이용	실용적인 방법	• 고유한(Unique) 암호구문과 복잡한 암호 사용 • 모바일 기기, 컴퓨터 및 응용프로그램에 대한 업데이트 • 데이터를 안전하게 저장하고 백업절차 확인 • 소셜미디어 및 이메일 계정 보호

 

 

④ 인터폴(Interpol)

 

인터폴은 범죄자들이 금전적 목적으로 일회용 수술용 마스크, 손소독제, 백신 및 코로나19 테스트 키트를 포함하여 시중에서 판매되는 가짜 또는 위조 의료품목을 활용하고 있다고 진단하였다. 코로나19 관련 바이러스가 전 세계적으로 확산되고 있으며, 범죄자들이 전자사기(온라인 또는 전화), 피싱(링크 클릭을 유도하여 계정 정보 탈취), 개인정보 획득을 위한 해킹, 위조(의료 공급자, 의약 위조), 거짓정보 유포 시도 등 코로나19 관련 범죄를 감행하고 있다고 분석했다. 인터폴은 코로나19와 관련된 악성 도메인, 랜섬웨어 등 다양한 유형의 사이버 공격이 확연히 증가하고 있다고 설명하고, 안전한 사이버환경을 위한 점검항목으로 다음과 같이 가시적으로 제시했다.

 

또한 인터폴은 코로나19를 이용한 전화사기와 피싱에 대한 보안인식을 제고하기 위해 가시적으로 관련 위험 유형을 제시했다. 전화 사기에서 범죄자들은 병원 또는 병원 관리인으로 가장하여 피해자의 친척이 바이러스에 감염되었다고 주장하며 치료비를 청구한다. 피싱에서는 피해자가 개인의 신원정보, 금융정보를 제공하거나 말웨어를 탑재한 첨부파일을 열도록 유도하기 위해 국가 또는 전세계 보건 당국에서 보낸 것으로 위장한 이메일을 전송하는 수법을 이용한다.

 

 

정책 시사점

 

전 세계적인 코로나19의 대유행은 고도화된 방역 체계의 중요성을 크게 인식시키는 계기로 작용되고 있다. 한편, 코로나19 위기상황은 사이버보안에도 광범위한 영향을 끼치고 있다. 코로나19 위기상황에서 기존의 사이버 공격 및 탐지 대응체계가 약화될 수 있고, 원격근무 급증에 따른 네트워크 가용성의 문제, 원격근무에 따른 위협, 경제체계의 붕괴에 따른 사이버보안 제품 및 도구의 공급이나, 사이버보안 인력 지원 부족 등 다양한 문제점이 발생할 수 있다.

이에 따라 미국, 유럽 등의 주요국 및 기관들은 코로나19의 유행에 따른 사이버보안 영향을 분석하고, 코로나19를 이용한 사이버위협을 분석하여 대응 지침 등을 제시하고 있다. 국내에서도 인터넷진흥원에서 코로나19로 인한 국민 불안감을 해소하고, 관련 정보를 쉽게 확인할 수 있도록 ‘코로나19 안심 정보’⁽¹⁰⁾를 운영 중이다. 안심정보에는 ‘코로나19 관련 재택·원격근무 시 사용자 및 관리자가 지켜야 할 정보보호 6대 실천 수칙’, 코로나19와 관련한 국내외 정부·기업의 사이버 피해 예방 대책 및 사이버 피해 사례 소개 등 다양한 보안정책을 안내하고 있다.

 

현재 우리나라는 코로나19 위기상황을 극복하면서 방역 선진국으로서의 위상을 높였고, 국민의 자부심도 한층 고양되었다. 그러나 전 세계적으로 코로나19의 위험을 지속되고 있으며, 사이버상의 코로나19를 이용한 사이버위협도 한동안 기승을 부릴 것으로 예상되는 상황에서 코로나19를 이용한 사이버보안 위협을 정밀히 분석하고, 효과적 대응으로 최적사례를 창출하여 사이버상의 방역에서도 모범적인 국가로 도약할 수 있기를 기대해본다.

 

 

 

 

[참고문헌]

 

1. Carbon Black, Technical Analysis: Hackers Leveraging COVID-19 Pandemic to Launch Phishing Attacks, Fake Apps/Maps, Trojans, Backdoors, Cryptominers, Botnets & Ransomware, 2020.3.19.
2. CCCS, Cyber Hygiene for COVID-19;

https://cyber.gc.ca/sites/default/files/publications/Publication-COVID-19-e.pdf

3. CISA, CISA INSIGHTS Risk Management for Novel Coronavirus(COVID-19), 2020.3.6
4. Deloitte, COVID-19’s Impact on Cybersecurity 2020.3
5. Interpol, Cybersafety; https://www.interpol.int/fr/Notre-action/COVID-19/COVID-19-Stay-Safe
6. Paloalto, Malicious Attackers Target Government and Medical Organizations With COVID-19 Themed Phishing Campaigns, 2020. 4.14
7. PWC, What immediate impact may organisations face as a result of COVID-19?, 2020. 3.20
8. ZDNet, There’s now COVID-19 malware that will wipe your PC and rewrite your MBR 2020. 3.26