화상회의 사이트로 위장한 해커들…`트로이목마` 공격 활개

실시간
뉴스

보안

화상회의 사이트로 위장한 해커들…'트로이목마' 공격 활개

디지털데일리 발행일 2024-03-17 09:21:19

김보민 기자

URL복사

[디지털데일리 김보민기자] 화상회의 사이트로 위장해 악성 소프트웨어(멀웨어·Malware)를 퍼뜨리는 위협 행위가 발견됐다. 사용자가 신뢰하는 사이트 속에 악성코드 등을 심어 잠입하는 '트로이목마' 공격 방식이 활개치고 있는 것으로 보인다.

16일 보안업체 지스케일러(Zscaler)에 따르면 지난해 12월부터 스카이프, 구글 미트, 줌 웹사이트를 모방하는 공격자가 등장하기 시작했다. 특정 국가를 넘어 해당 사이트를 이용하는 범세계적 사용자가 목표물이었다.

공격자는 기존 공식 홈페이지와 유사한 도메인을 갖춘 모방 사이트를 만들어 사용자가 '실수로' 접속하기를 기다렸다. 해당 사이트는 모두 러시아어를 쓴다는 공통점이 있었다. 인터넷주소(URL) 또한 공식 사이트와 유사하게 만들었다.

사용자가 모방 사이트를 방문해 안드로이드 버튼을 누르면 APK파일이 다운됐고, 윈도(Windows) 버튼을 누르면 BAT파일이 다운됐다. 공격자는 이 과정에서 스파이노트, 디씨랫, 엔제이랫 등 각종' 원격 액세스 트로이목마(RAT·Remote Access Trojan)'를 배포해 사용자 기기가 멀웨어에 감염되도록 했다.

RAT는 공격자가 감염된 컴퓨터를 원격으로 제어할 수 있도록 설계된 멀웨어를 뜻한다. 공격자는 원하는 명령을 보내 데이터 등 주요 정보를 받을 수 있다. 추가 기능과 함께 번들로 제공되거나, 모듈식으로 설계 되기도 한다. 감염 시스템을 탐색한 후 키로거(keylogger)를 설치하는 방식이다. 키로거는 키보드 입력 내용을 활용해 비밀정보를 탈취하는 해킹 프로그램이다.

전 세계 주요 국가들이 디지털 전환에 속도를 올리고 있고, 신종 코로나바이러스 감염증(코로나19) 이후 원격 회의 및 교실이 일상화된 만큼 해당 공격 방식을 간과해서는 안 된다는 목소리가 나오고 있다. 특히 RAT 위협은 사용자 기기에서 중요 정보를 빼갈 수 있기 때문에 각별한 주의가 필요하다.

지스켈일러는 "위협 행위자는 미끼를 사용해 기밀 정보를 훔치고, 키 입력을 기록하고, 파일을 훔칠 수 있는 안드로이드 및 윈도용 RAT를 배포하고 있다"라며 "강력한 보안 조치와 정기적인 업데이트가 필요한 시점"이라고 말했다. 개인 차원에서 '신뢰할 수 있는 사이트'에 대한 식별 역량 또한 뒷받침되어야 한다.

한편 트로이목마 방식의 공격은 더 고도화될 전망이다. 인공지능(AI) 등 첨단 기술을 활용하려는 공격자가 늘고 있는 만큼, 보호 울타리를 어떻게 강화할지에 대한 고민은 더욱 깊어지고 있다.