[파이낸셜뉴스]  일본이 지난달 24일 후쿠시마 제1원자력발전소 오염수의 해양 방류를 개시한 가운데, 후쿠시마 오염수 방류 이슈를 악용해 악성코드를 유포하는 사례가 발견됐다. 5일 안랩에 따르면 공격자는 오염수 처리와 관련한 내용을 담은 이메일 등을 이용해 ‘project.chm’ 이라는 이름의 윈도 도움말 파일(.chm)을 유포한 것으로 추정된다. 안랩은 사용자가 무심코 이 파일을 실행하면 ‘후쿠시마 오염수 방류’와 ‘노재팬’ 캠페인에 관한 현황을 담은 언론 기사 내용이 나타나면서 해당 PC에 몰래 백도어 악성코드(공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 악성코드)가 설치된다고 설명했다. 해당 악성코드는 공격자의 명령에 따라 감염 PC에서 파일 업로드와 다운로드, 정보 탈취 등 다양한 악성 행위를 수행할 수 있는 것으로 알려졌다. 백도어 악성코드는 추가 공격에서 공격자의 출입 통로 역할을 한다. 안랩 V3는 이 악성코드를 진단 및 차단하고 있다고 밝혔다. 이가영 안랩 분석팀 주임연구원은 “공격자는 사용자의 궁금증을 유발해 악성 파일을 실행하도록 유도하려고 최근 이슈가 되는 주제를 적극적으로 이용하고 있다”며 “출처가 불분명한 파일은 저장하거나 실행하지 말고 백신을 최신 버전으로 유지해야 한다”고 말했다. 한편 악성코드로 인한 피해 예방을 위해서는 ▲출처가 불분명한 파일 다운로드·실행 금지 ▲오피스 소프트웨어(SW), 운영체체(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안수칙을 지켜야 한다. sanghoon3197@fnnews.com 박상훈 기자

지란지교시큐리티는 자회사 에스에스알(SSR)의 악성 이메일 모의훈련 솔루션 ‘머드픽스’ 사업을 인수하고 이메일 보안 사업을 확대해 국내 이메일 보안 1위 기업으로서 입지를 강화한다고 7일 밝혔다. 머드픽스는 기관 및 기업의 내부 고객을 대상으로 이메일 반복 훈련을 통해 보안 인식을 제고하고 법적 요구사항에 대응하는 악성 이메일 모의훈련 솔루션이다. 최근 비대면 업무 환경을 노린 악성 이메일 공격이 증가하면서 사전 예방의 중요성이 높아짐에 따라 모의훈련 솔루션 수요도 늘어나고 있다. 이번 머드픽스 사업 인수는 모회사와 자회사 간에 분산돼 있던 이메일 보안 사업 부문을 한 곳으로 통합해 서비스에 대한 안정성과 전문성을 강화하기 위해 추진됐다. 지란지교시큐리티는 이번 인수를 통해 스팸차단솔루션, 이메일 APT 대응 솔루션, 이메일 DLP, 이메일 아카이빙 등 기존 제품군과 더불어 이메일 보안 분야의 제품 포트폴리오를 강화한다. 자사의 축적된 경험과 강점을 기반으로 이메일 보안부터 컨설팅까지 차별화된 전방위적 이메일 보안 서비스를 제공할 계획이다. 특히 악성메일 트렌드 공유 서비스를 제공하는 지란지교시큐리티는 최신 이메일 위협에 대한 최다 패턴 수집 및 분석 데이터를 보유하고 있다. 자체 보유한 신종 패턴을 머드픽스에 적용해 고객에게 신규 이메일 위협에 빠르게 대응할 수 있는 진화된 서비스를 제공할 방침이다. 윤두식 지란지교시큐리티 대표이사는 “기존 이메일 보안 사업과 머드픽스의 결합으로 이메일 보안 분야 전문성을 높이고자 인수를 결정했다”며 “이번 인수를 통해 양사가 주력하고 있는 이메일 보안과 취약점 진단 분야에 각각 집중해 양질의 솔루션 및 서비스를 제공해 나갈 것”이라고 말했다. solidkjy@fnnews.com 구자윤 기자

국세청은 최근 업무를 사칭한 여러 종류의 악성 이메일이 유포되고 있어 주의가 요구된다고 3일 밝혔다. 해당 이메일의 첨부파일을 클릭하면 악성코드에 감염된다. 이날 국세청에 따르면 악성 이메일은 제목과 본문에 “피고인 심문에 대한 소환 안건”, “미지급 세금 계산서”, “대한민국 국세법 제211조에 따라 … 국세청으로 출두해야 합니다” 등의 문구가 포함돼 있다. 첨부된 파일을 클릭할 경우 랜섬웨어 등과 같은 악성코드에 감염될 수 있다는 것이 국세청 설명이다. 랜섬웨어는 컴퓨터에 저장된 문서, 그림파일 등을 암호화한 뒤 사용자에게 암호 해제를 위한 금전을 요구하는 악성 프로그램이다. 국세청은 “악성 이메일 유포를 인지한 즉시 홈택스와 국세청 홈페이지에 팝업 안내, 대형포털에 해당 메일 차단 요청, 경찰 수사 요청 등 적극 대응하여 피해를 최소화하기 위해 노력하고 있다”면서 “국세청 사칭이 의심되는 이메일 수신시 피해예방에 신경을 써야 한다”고 조언했다. 국세청에 따르면 어떠한 경우에도 출두나 신분에 대한 정보를 메일로 요청하지 않는다. 또 홈택스를 통해 발급한 전자세금계산서 발급 안내메일은 발송자 주소를 주의 깊게 확인할 필요가 있다. 국세청은 “백신프로그램 설치 및 최신 버전 유지, 출처가 불분명한 이메일 또는 첨부파일 실행 주의, 포털 등 해당 메일 회사의 고객센터에 신고 후 삭제하시기 바란다”라고 덧붙였다. jjw@fnnews.com 정지우 기자

평창 동계올림픽 개막이 코 앞으로 다가온 가운데 허위의 평창 동계올림픽 테러 예방 계획이 담긴 이메일이 유포돼 경찰이 수사에 나섰다. 이에 앞서 대회를 빙자해 기승을 부린 사기사건 피고인들에게 유죄가 선고됐다. 또 과거 올림픽을 둘러싼 소송 등이 관심을 끌고 있다. 경찰청 사이버안전국은 6일 경찰청 명의를 사칭한 이메일이 불특정 다수에게 발송된 사실을 확인, 한국인터넷진흥원(KISA)과 협조해 유포지에 대한 차단 조치 및 내사에 착수했다고 밝혔다. '협박전화테러 예방'이라는 제목의 이메일에는 허위로 작성된 평창올림픽 계획서가 담긴 것으로 전해졌다. 경찰 관계자는 "평창올림픽 기간 국가기관을 사칭한 악성코드 유포 행위가 증가할 것으로 예상된다"며 "출처가 불분명한 이메일에 대해서는 각별한 주의 및 적극적인 신고와 제보를 당부한다"고 강조했다.■"평창올림픽 열리면 땅값 오른다"..잇단 사기 유죄 법조계에 따르면 2018 평창 동계올림픽 개최를 빌미로 한 사기사건이 기승을 부렸다. 지난 2014년 8월 A씨(60)는 서울 강북의 한 사우나 주차장에서 B씨에게 자신이 건축업자라면서 "평창에 있는 땅을 구입하려는데 부족한 1100만원을 주면 토지 지분을 나눠 주겠다"고 제안, 돈을 빌렸다. 당시 A씨는 B씨에게 "평창군은 동계올림픽이 개최될 곳으로, 땅을 금방 되팔 수 있어 큰 수익이 생길 것"이라고 설득했으나 빌린 돈을 개인 채무 변제에 쓸 생각이었던 것으로 조사됐다. A씨는 사기죄로 1심에서 벌금 300만원을 선고받았다. 강원 원주시에서도 비슷한 사건이 발생했다. C씨(40)는 "평창에 어머니 명의의 땅 30만평이 있는데 공시지가로만 8000만원이 넘고 동계올림픽 개최 확정으로 땅값이 계속 오르고 있다"며 D씨에게 대부업체로부터 대출을 받아 돈을 빌려달라고 꼬드겼다. 그러나 C씨의 말은 모두 거짓이었고 7200만원을 가로챈 혐의로 1심에서 징역 1년을 선고받았다. 사기사건이 민사소송으로 이어지기도 했다. E씨는 2011년 F씨에게 "평창에서 펜션사업을 하면 돈을 벌 수 있다"고 속여 6800만원을 가로챈 혐의로 1심에서 징역 8월이 선고됐다. 이후 F씨는 E씨를 상대로 손해배상 소송을 냈고 1심 재판부는 6800만원을 돌려주라고 판결했다. ■대회 끝나고 소송전..대한변협, 분쟁 중재 올림픽이 끝난 뒤 빚어진 갈등이 소송으로 이어지기도 한다. 김기훈 전 쇼트트랙 국가대표팀 감독은 2010년 2월 밴쿠버에서 열린 동계올림픽에서 자신이 이끈 대표팀이 우수한 성적을 거두면서 대한체육회로부터 8170만원의 포상금 지급을 보장하는 증서를 발급받았다. 그러나 올림픽 직후 열린 불가리아 쇼트트랙 세계선수권대회 때 선수들 사이 출전 담합 의혹이 불거졌고 대한체육회는 당시 국가대표팀을 맡았던 김 전 감독이 묵인하거나 방조했다며 올림픽 포상금을 지급할 수 없다고 결정했다.이에 김 전 감독은 대한체육회를 상대로 소송을 냈고 1심 재판부는 "담합행위에 관여했더라도 직접 관계가 없는 올림픽 포상증서에 의한 권리행사를 권리남용이나 신의칙 위반으로 볼 수 없다"며 포상금을 지급하라고 판결했다.이후 같은 내용으로 전재목 전 쇼트트랙 국가대표팀 감독이 대한체육회를 상대로 낸 민사소송에서도 같은 취지의 법원 판단이 나왔다. 올림픽 대회 중에도 선수자격, 판정 및 약물복용 시비 등 법적 분쟁이 제기될 소지가 있다. 그러나 대회 과정에서 복잡한 소송절차를 밟기에는 시간과 자원이 부족해 올림픽 때는 스포츠 중재 재판소(CAS)가 임시 운영된다. fnljs@fnnews.com 이진석 박준형 기자

경찰청 홍보팀을 사칭한 이메일로 악성코드가 유포돼 경찰이 수사에 나섰다. 경찰청 사이버안전국은 28일 오전 해당 이메일을 확보해 수사에 착수했다고 밝혔다. 경찰은 정확한 유포 경로와 피해 여부 등을 조사하고 있다. 이메일에는 '해킹 피해예방수칙'에 대한 내용이 담겨 있으며, 첨부된 한글파일을 열면 악성코드가 활성화돼 해당 컴퓨터의 정보가 유출되는 것으로 파악했다. 다만 이메일은 존재하지 않는 계정을 사용했고, '경철청'이라고 표현하는 등 오타도 많아 정부기관보다는 일반 단체나 시민들에게 발송됐을 가능성이 높은 것으로 추정된다. 경찰 관계자는 "현재 피해 규모 확인하고 IP 주소를 추적하고 있다"며 "아직 북한 소행이라고 추정하긴 이르다"고 말했다. 앞서 북한 전문 매체 데일리NK는 이날 북한의 소행으로 추정되는 해커가 경찰청 홍보팀을 사칭해 악성코드가 담긴 이메일을 유포했다고 보도했다. jun@fnnews.com 박준형 기자

'최순실 게이트' '북한 신년사' 관련 문서가 첨부된 이메일 해킹이 북한의 소행인 것으로 최종 확인됐다. 이메일을 받은 후 문서를 열기만 해도 북한 해커조직이 심은 악성코드에 감염됐다. 경찰청은 최근 악성코드가 포함된 이메일을 발송한 공격의 근원지가 북한 인터넷주소(IP)라는 사실을 확인했다고 25일 밝혔다. 지난해 11월 '우려되는 대한민국'이라는 제목으로 최순실씨의 국정농단을 다룬 내용의 한글파일 문서가 이메일을 통해 유포됐으며 올 1월에는 '2017년 북한 신년사 분석' 한글파일 문서가 이메일을 통해 유포됐다. 경찰 조사 결과 이메일은 북한 평양 류경동 IP에서 미국 소재 서버를 경유해 발송된 것으로 드러났다. 북한 해킹조직은 국내의 북한 관련 학술연구단체를 사칭해 이메일을 보냈다. 이메일에 첨부된 우려되는 대한민국 문서를 열면 바로 악성코드에 감염됐다. 문서에는 '(최순실 게이트의) 해법은 박근혜 대통령을 지키는 것'이라며 박 대통령을 옹호하는 내용이 담겨 있었다. 2017년 북한 신년사 분석 이메일의 경우 문서에 적시된 링크를 클릭하면 악성코드에 감염됐다. 우려되는 대한민국 이메일을 받은 인원은 10명, 북한 신년사 이메일을 받은 인원은 30명이었다. 이들 중 3명은 국방부 관계자, 1명은 외교부 관계자였다. 1건이 외교부 메일로 발송됐고 나머지 39건은 모두 포털사이트 메일로 수신됐다. 경찰은 이번에 사용된 이메일 계정을 영구 사용 정지하도록 포털사이트를 통해 조치했다. 또 첨부된 파일에 포함된 악성코드에 대해 백신반영 조치도 했다. 경찰은 이번 사건을 계기로 지난 1년간 북한 해킹조직의 활동상황을 추적한 결과 2012년 5월 이후 지난해 말까지 이메일 계정 58개를 생성, 정부.연구.교육기관.언론 분야 종사자 등 총 785명에게 악성 이메일을 발신한 것으로 확인했다. 주로 북중 접경지역인 중국 랴오닝성 인근 요녕성 IP를 이용했으며 국내 및 해외 소재 서버 69개를 경유했다. 경찰 관계자는 "북한이 최근 국내 이슈를 이용해 국방 및 외교 종사자들의 이메일 해킹을 통한 정보 유출을 지속적으로 시도하고 있는 것으로 판단된다"며 "평상시에는 주로 포털사이트를 이용하는 반면 이슈가 있으면 청와대 등 정부기관을 사칭하기도 해 주의가 요구된다"고 강조했다. jun@fnnews.com 박준형 기자

'최순실 게이트' '북한 신년사' 관련 문서가 첨부된 이메일 해킹이 북한의 소행인 것으로 최종 확인됐다. 이메일을 받은 후 문서를 열기만 해도 북한 해커조직이 심은 악성코드에 감염됐다. 경찰청은 최근 악성코드가 포함된 이메일을 발송한 공격의 근원지가 북한 인터넷주소(IP)라는 사실을 확인했다고 25일 밝혔다. 지난해 11월 '우려되는 대한민국'이라는 제목으로 최순실씨의 국정농단을 다룬 내용의 한글파일 문서가 이메일을 통해 유포됐으며 올 1월에는 '2017년 북한 신년사 분석' 한글파일 문서가 이메일을 통해 유포됐다. 경찰 조사 결과 이메일은 북한 평양 류경동 IP에서 미국 소재 서버를 경유해 발송된 것으로 드러났다. 북한 해킹조직은 국내의 북한 관련 학술연구단체를 사칭해 이메일을 보냈다. 이메일에 첨부된 우려되는 대한민국 문서를 열면 바로 악성코드에 감염됐다. 문서에는 '(최순실 게이트의) 해법은 박근혜 대통령을 지키는 것'이라며 박 대통령을 옹호하는 내용이 담겨 있었다. 2017년 북한 신년사 분석 이메일의 경우 문서에 적시된 링크를 클릭하면 악성코드에 감염됐다. 우려되는 대한민국 이메일을 받은 인원은 10명, 북한 신년사 이메일을 받은 인원은 30명이었다. 이들 중 3명은 국방부 관계자, 1명은 외교부 관계자였다. 1건이 외교부 메일로 발송됐고 나머지 39건은 모두 포털사이트 메일로 수신됐다. 경찰은 이번에 사용된 이메일 계정을 영구 사용 정지하도록 포털사이트를 통해 조치했다. 또 첨부된 파일에 포함된 악성코드에 대해 백신반영 조치도 했다. 경찰은 이번 사건을 계기로 지난 1년간 북한 해킹조직의 활동상황을 추적한 결과 2012년 5월 이후 지난해 말까지 이메일 계정 58개를 생성, 정부·연구·교육기관·언론 분야 종사자 등 총 785명에게 악성 이메일을 발신한 것으로 확인했다. 주로 북중 접경지역인 중국 랴오닝성 인근 요녕성 IP를 이용했으며 국내 및 해외 소재 서버 69개를 경유했다. 경찰 관계자는 "북한이 최근 국내 이슈를 이용해 국방 및 외교 종사자들의 이메일 해킹을 통한 정보 유출을 지속적으로 시도하고 있는 것으로 판단된다"며 "평상시에는 주로 포털사이트를 이용하는 반면 이슈가 있으면 청와대 등 정부기관을 사칭하기도 해 주의가 요구된다"고 강조했다. jun@fnnews.com 박준형 기자

'최순실 국정 농단 사건'과 관련한 문서에 악성코드를 탑재한 이메일이 돌아 경찰이 수사에 착수했다. 15일 경찰에 따르면 '우려되는 대한민국'이라는 제목으로 최씨 국정농단 사건을 언급한 문서가 이메일을 통해 유포되고 있다. 이메일에는 워드프로세서 한글로 작성된 문서가 첨부됐고 이 문서에는 악성코드가 심겨 있어 파일을 열면 해당 PC가 감염되는 것으로 파악됐다. 경찰은 북한발 사이버 공격 등 여러 가능성을 염두에 두고 발신지를 추적하는 등 수사를 벌이고 있다. 피해 사례는 아직 없는 것으로 알려졌다. 예병정 기자

영국의 로열 베이비를 악용한 이메일 공격이 이어지고 있다. 글로벌 보안업체 웹센스는 영국의 로열 베이비 기사가 지능형지속공격(APT)의 유인책으로 사용되는 징후를 발견했다고 23일 밝혔다. 최근 영국 왕실의 윌리엄 왕세손이 아들을 낳으면서 왕위 서열 3위의 로열 베이비가 탄생했는데, 이를 사이버 범죄자들이 악의적으로 이용하고 있는 것으로 웹센스는 분석했다. 관련 기사는 APT 공격의 유인에 사용되고 있었는데, 이번 공격의 목표는 데이터 유출이었다. 웹센스에 따르면, 해커들은 로열 베이비 기사를 활용한 이메일을 보내는 공격을 퍼붓고 있는데, 웹센스의 APT 방어 프로그램인 트리트시커(ThreatSeeker) 분석 결과, 한 시간 동안 동일 제목으로 된 6만개 이상의 이메일 공격이 발견됐다. 악성코드를 숨긴 파일이 첨부된 '로열 베이비 라이브 엡데이트'라는 제목의 이메일에서 링크된 관련 기사를 열면, 악의적인 목적을 가진 웹사이트로 연결이 된다. 웹사이트로 들어가면 가짜 어도비 플래시 업데이트를 통해 APT 공격을 위한 악성 프로그램들이 설치된다. 이후 해커들은 기업 중앙 시스템에 접속해 개인 정보, 회사 기밀 데이터 등을 빼가는 방식이다. 이상혁 웹센스코리아 지사장은 "최근 탄생한 영국 로열베이비가 화제가 되면서 사이버 범죄자들이 이런 분위기에 편승해 다양한 악의적 공격을 하고 있다"며 사용자 주의를 당부했다. yjjoe@fnnews.com 조윤주 기자

조류독감 안내문 등 사회적으로 주목을 받는 이슈나 기업의 주요 문서로 위장한 악성코드가 발견돼 사용자 주의가 당부된다. 안랩은 조류독감 안내문, 출장 보고서, 북한 관련 문서로 위장된 악성코드가 최근 잇따라 발견됐다고 26일 밝혔다. 이들 모두 이메일로 유포되고, 외부의 특정 서버와 통신함으로써 정보 유출 등을 시도한다는 공통점이 있다. '조류독감 안내문'으로 위장한 악성코드는 최근 중국에서 발생한 신종 조류독감(H7N9)에 사회의 관심이 쏠린 점을 이용했다. 이메일에 첨부된 파일(조류독감 안내문.exe)은 아이콘이 문서처럼 보이지만 실제로는 악성코드를 담은 실행 파일(.exe)이다. 이 파일을 실행하면 신종 조류독감에 대한 안내문이 열린다. 사용자는 일반 문서라고 생각하지만 사용자 몰래 악성코드가 설치된다. 이후 외부의 특정 서버와 통신을 시도하는데, 이는 사용자 정보를 빼내가려는 시도로 추정된다. '워싱톤 출장 결과 보고서.exe'라는 제목으로 유포된 악성코드 역시 실행파일(.exe)임에도 문서처럼 보여 사용자가 눈치채기 어렵다. 파일은 손상된 상태여서 실행하면 열리지 않는다. 이때 설치된 악성코드는 중국에 위치한 서버와 통신을 시도한다. 북한 관련 정보를 담은 문서 파일로 위장한 경우는 '한국의 대응전략.hwp'이라는 파일명을 사용했다. 문서에는 북한의 핵 개발 및 북핵 문제 해결을 위한 6자 회담, 북한 비핵화를 위한 정부의 대응 전략 등의 내용이 담겨있다. 사용하는 문서 프로그램의 버전이 낮고 보안 패치가 되어 있지 않은 PC에서 이 파일을 열면 취약점을 통해 다수의 악성코드가 설치된다. 최신 버전(아래아한글 2010 이상)이거나 이전 버전이라도 보안 패치가 적용된 PC에서는 작동하지 않는다. 설치된 악성코드들은 특정 서버와 통신을 시도한다. 안랩 시큐리티대응센터 이호웅 센터장은 "최근 사용자의 관심을 끌 만한 주제의 문서로 위장한 악성코드가 다수 발견되고 있는데, 이런 경우 사용자가 의심을 덜 할 뿐 아니라 내용과 형식도 정상파일에 가까워 사용자는 악성코드 감염을 인지하기 어렵다"며 "사용자는 반드시 소프트웨어 업체가 제공하는 보안 패치를 설치하고, 송신자가 불분명한 수상한 메일의 첨부 파일 실행을 자제해야 한다. 백신을 최신 버전으로 유지하는 것도 필수적"이라고 당부했다. yjjoe@fnnews.com 조윤주 기자