이메일 첨부파일을 다운 받거나 링크를 클릭할 때 랜섬웨어에 걸리거나 악성코드가 심어지는 ‘이메일 공격’ 발원지가 중국으로 파악됐다. 공격을 일삼는 집단은 챠드(CHAD)이며, 기존 공격집단보다 더욱 노출을 꺼리는 단체인 것으로 분석된다.

아예 이메일을 열람할 때부터 격리된 가상공간에서 열도록 해주는 ‘격리 솔루션’을 이용하면 막을 수 있지만, 모르는 사람이 보낸 메일을 열지 않는 등 사용자의 주의가 우선돼야 한다.

SK인포섹은 17일 경기도 판교 본사에서 ‘EQST 미디어데이’를 개최하고 올해 상반기 보안 트렌드를 짚어보는 자리를 가졌다.

발표를 맡은 김성동 SK인포섹 침해사고대응팀장은 “올해 상반기에만 70여건의 보안 사고가 발생했다”면서 “배달업체 제트콜, 숙박앱 야놀자의 개인정보 유출과 중국 암호화폐 거래소 바이낸스 해킹사태와 같은 일들이 발생했다”고 말했다.

김성동 팀장은 “무엇보다도 해킹 사고 원인으로 이메일 통한 유입이 35% 가장 많으며 최근 급증하는 추세로 나타났다”면서 “올해 상반기에만 이메일 공격은 17만건으로 집계돼 지난해 전체(16만3000건) 공격 수를 이미 넘어섰다”고 설명했다.

이메일 공격은 첨부파일이나 링크를 활용해 사용자 PC에 악성코드를 심거나 랜섬웨어를 까는 수법이다. 특히 최근에는 업무와 관련된 내용으로 제목을 짓거나 회사나 거래처, 공공기관을 사칭해 클릭을 유도한다.

김 팀장은 “이메일 공격으로 심어지는 악성코드 유형으로는 랜섬웨어가 38%로 가장 많았고 정보 탈취를 위한 트로이안 악성코드도 28%로 많았다”면서 “암호화폐를 채굴하는 마이닝 악성코드와 언제든 해커가 드나들 수 있는 백도어도 나타났다”고 지적했다.

이렇게 이메일 공격을 통해 심어진 악성코드는 AD(Active Directory) 관리자 권한을 획득해 정보를 탈취하거나, 클라우드 컨테이너 서비스를 구성하는 독커(Docker)를 공격하는 방식으로 피해를 끼친다.

최근 급증하는 공격은 중국에서 대다수 발생하는 것으로 파악됐다. SK인포섹은 공격집단을 묶어 챠드(CHAD)라고 명명했다.

김 팀장은 “기존 공격집단과는 다르게 파일 내부 키 이름이 'ChapChap'으로 붙어 있었고, 이들이 주로 이용하는 AD공격과 결합해 챠드(CHAD)라고 이름을 지었다”면서 “다른 공격자 집단도 마찬가지지만, 이 그룹은 특히나 프록시와 VPN을 활용해 자신들을 철저하게 숨기는 경향이 있어 추적이 어렵다”고 설명했다.

이메일 공격을 대비하려면 사용자가 의심이 되는 이메일을 열어보지 않아야 한다. 특히 공격 메일이 견적서 요청, 채용공고, 이력서로 위장하기에 각별한 주의가 요구된다. 모르는 사람이 보낼 경우 되도록 열어보지 않는 게 최선이다.

보안제품 중 격리 솔루션을 활용하는 것도 하나의 방법이다.

이재우 SK인포섹 EQST 그룹장은 “현실적으로 사용자가 이메일을 열지 않는 것은 어렵기에 아예 이메일을 구동하는 부분을 격리하는 보안 솔루션이 필요하다”면서 “첨부파일을 클릭하거나 링크를 누르는 행위를 사용자 컴퓨터에서 하지 않고 가상화된 공간에서만 구동하도록 해 격리시켜야 한다”고 설명했다.

김태환 테크엠 기자 kimthin@techm.kr