사이버 혼란 틈타 `악성 피싱` 기승

유사 인터넷주소 등 공격 시도
개인정보 유출 등 우려 높아져

크라우드스트라이크가 식별한 악성 도메인 주소 목록. 크라우드스트라이크 홈페이지 제공

크라우드스트라이크의 업데이트 오류로 인한 글로벌 IT 장애를 악용한 악성코드 유포 및 피싱 주의보가 켜졌다. 실제로 크라우드스트라이크에 서비스 장애를 틈타 원격 접근 트로이목마(RAT) 해킹을 통한 사이버 공격을 시도한 정황이 발견돼 피싱에 대한 우려가 커지고 있다.

22일 크라우드스트라이크에 따르면 피싱 이메일, 유사 인터넷 주소, 사칭 전화 등 IT 대란으로 발생한 혼란을 이용한 사이버 공격 시도가 이뤄지고 있다.

크라우드스트라이크는 "자사 지원을 가장한 피싱 이메일, 자사 직원 사칭 전화, 복구 스크립트(프로그램) 판매 등 악의적 활동이 있다는 제보를 받았다"며 "크라우드스트라이크 브랜드를 도용한 인터넷 주소(도메인)도 있다"고 발표했다. 사이버 범죄자들은 '크라우드스트라이크-긴급 수정'(crowdstrike-hotfix)이라는 이름의 압축파일(ZIP)을 배포하는 방식으로 사이버 공격도 시도하고 있다. 해당 압축 파일을 실행 시 하이재킹-로더(hijack-loader)를 시스템에 침입시키는 방식이다.

조지 커츠(George Kurtz) 크라우드스트라이크 최고경영자(CEO)는 "악의적인 행위자들이 이번 사건을 악용하려 시도할 수 있기 때문에 모든 사람이 경계를 늦추지 말고 프로그램을 다운로드하기 전에 크라우드스트라이크 담당자와 꼭 소통하라"고 당부했다.

사이버 보안업체 시큐어웍스도 이번 사태 이후 몇 시간 만에 크라우드스트라이크와 관련된 웹사이트 도메인이 여러 개 만들어진 것을 확인했다고 밝혔다. 공식적인 웹사이트처럼 보이도록 해커들이 새로운 웹사이트를 만들어 기업 IT 관리자나 일반인들을 속이는 방식이다. 또 이들은 복구 서비스를 제공한다고 하면서 암호화폐 결제를 요구하기도 하는 등 피싱 공격을 확대하고 있다. 시큐어웍스는 "사건 발생 후 몇 시간 만에 크라우드스트라이크와 관련된 새 도메인 등록을 여러 건 발견했다"며 "회사 고객을 속이려는 의도로 등록한 것으로 보인다"고 밝혔다.

미국, 영국, 호주 등 각국에서도 이 사건을 악용한 피싱 활동이 늘고 있다. 미국 사이버보안·인프라 보안국(CISA)도 성명을 통해 "크라우드스트라이크 업데이트 오류가 사이버공격 등과 관련이 없지만 이를 악용한 피싱 등 악의적 행위를 확인했다"며 "피싱 이메일이나 의심스러운 링크를 클릭하지 말라"고 밝혔다.

호주 신호정보국(ASD) 또한 "크라우드스트라이크가 유발한 기술 문제를 복구시켜 준다는 내용의 악성 웹사이트나 비공식 코드가 많이 유포되고 있다"며 "모든 고객에게 공식 크라우드스트라이크 출처에서 기술 정보나 업데이트를 받도록 강하게 권고한다"고 밝혔다. 영국 국가사이버보안센터 역시 "이번 정전을 언급하며 조직과 개인 모두를 노린 피싱이 이미 증가하고 있다"고 했다.

다만 국내에서는 이번 대란으로 인한 사이버범죄 가능성은 낮은 것으로 나타났다. 김승주 고려대학교 정보보호대학원 교수는 "현재 먹통이 된 원도를 다시 복귀시켜야 하는데, 이때 복구를 돕는다며 악성코드 등이 삽입된 피싱 메일을 보낼 수 있어 주의가 필요하다"면서도 "국내 기업이나 일반 소비자들에게는 피해가 거의 없을 것으로 예상된다"고 말했다. 유진아기자 gnyu4@dt.co.kr