마이크로소프트(MS)의 클라우드 서비스 장애를 틈타 원격 접근 트로이목마(RAT) 해킹을 시도하는 집단이 있어 유의해야 한다는 지적이 나온다. 트로이목마는 감염된 기기의 정보와 내부 파일 검색 및 전송, 기기 내 멀웨어와 관련 증거 삭제 등 다양한 기능을 수행하며 대량의 정보를 탈취하는 특징이 있다. 2차 피해를 방지하기 위해서는 크라우드스트라이크를 사칭한 첨부파일을 내려받지 말아야 하고, 전화나 웹사이트도 조심해야 한다.
22일 크라우드스트라이크에 따르면 사이버 범죄자들은 크라우드스트라이크 고객을 겨냥한 피싱 캠페인을 시작했다. 이들은 ‘crowdstrike-hotfix.zip’이라는 이름의 압축파일(ZIP)을 배포하고 있는데, 이 파일에 악성코드가 숨어있다. 크라우드스트라이크가 복구 도구를 배포한 것과 같은 파일 이름이 특징이다. 이 압축파일에는 복구를 위해 ‘실행파일(setup.exe)’을 실행하라는 지침이 담긴 텍스트 파일이 포함돼 있다. 압축 파일을 내려받아 실행하면 트로이목마 해킹 툴이 작동하는 것이다.
사이버보안 솔루션 제공 업체인 시큐어웍스에 따르면 크라우드스트라이크를 사칭한 악의적인 사이트도 등장하기 시작했다. 이번 장애로 영향을 받은 기업들에 도움을 주겠다는 웹사이트들이 나타나기 시작한 것이다. ‘crowdstriketoken.com’ ‘crowdstrikedown.site’ ‘crowdstrikefix.com’ 등 총 28개의 사기 사이트가 확인됐다. 공식적인 웹사이트처럼 보이도록 해커들이 새로운 웹사이트를 만들어 기업 IT 관리자나 일반인들을 속이는 것이다.
이를 통해 이용자들이 악성 소프트웨어를 다운로드하게 하거나 개인정보를 제공하게 할 가능성이 있다고 BBC는 전했다. 또 이들은 복구 서비스를 제공한다고 하면서 암호화폐 결제를 요구하기도 하는 등 피싱 공격을 확대하고 있다.
조지 커츠(George Kurtz) 크라우드스트라이크 최고경영자(CEO)는 “회사 직원 등을 사칭해 서비스 복구를 돕겠다며 접근하는 새로운 피싱 사기가 시도되고 있다”며 “악의적인 행위자들이 이번 사건을 악용하려 시도할 수 있다. 모든 사람이 경계를 늦추지 말고 프로그램을 다운로드하기 전에 크라우드스트라이크 담당자와 꼭 소통하라”고 당부했다.
이날 MS는 컴퓨터를 복구하는 데 도움이 되는 도구를 내놨다. USB를 통해 윈도 PE 환경으로 부팅하고 영향을 받는 컴퓨터의 디스크에 액세스한 뒤 문제가 있는 크라우드스트라이크 파일을 자동으로 삭제하는 방식이다. 이 작업을 거치면 컴퓨터가 제대로 부팅되며, 이용자가 수동으로 안전모드를 실행하지 않아도 되고 관리자 권한도 필요하지 않다. 더버지 등 IT매체들은 MS는 PC를 여러 번 재부팅하면 필요한 업데이트를 받을 수 있다고 하지만 이 방법은 최대 15회 가능하다고 전했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)도 보호나라 홈페이지에서 문제가 되는 업데이트 파일을 삭제하는 긴급 조치 방안을 안내하고 있다. 크라우드스트라이크가 배포한 팰컨(Falcon) 제품군 최신 패치를 적용하고 블루스크린이 발생했다면 안전모드에서 문제 파일을 삭제해야 한다. 미국 사이버 보안 및 인프라 보안국(CISA)도 “이번 사건을 악용한 피싱 및 기타 악의적인 활동을 이미 확인했다”며 “의심스러운 링크를 클릭해선 안된다”고 경고했다.
댓글0