직장내 커뮤니케이션 도구에 대한 신뢰를 노린 악성 이메일 캠페인이 다시 고개를 들고 있다. 사이버 보안 기업 Abnormal AI는 최근 보고서를 통해 공격자들이 줌과 마이크로소프트 팀즈 등 일상적인 화상회의 플랫폼을 사칭해 원격 제어 악성코드인 ‘스크린커넥트(ScreenConnect)’를 배포하고 있다고 경고했다.
이 캠페인은 기존 피싱과 달리 사용자가 업무용 필수 소프트웨어라고 믿게 만들어 악성코드를 설치하게 유도한다. 공격자들은 이미 탈취된 정상 사용자 이메일 계정을 활용해 교묘하게 위장된 메시지를 보내며, 세금 신고 시즌이나 회의 초대 등 시기적절한 명분을 덧붙여 클릭을 유도한다. 이메일 내 링크를 클릭하면 인공지능으로 생성된 피싱 페이지나 클라우드 기반 파일 공유 플랫폼으로 연결돼 사용자는 자연스럽게 스크린커넥트 설치 파일을 받게 된다. 일부 링크는 별도 설치 과정 없이 바로 원격 제어 세션으로 연결되기도 한다.
공격자는 이 외에도 링크를 감추기 위한 다양한 난독화 기법을 사용하고 있다. 대표적으로 센드그리드(SendGrid) 도메인 래핑, 오픈 리디렉트(Open Redirect) 공격, 클라우드플레어 워커스(Cloudflare Workers)를 활용한 호스팅 등을 통해 보안 탐지를 회피한다. 링크를 base64 형식으로 인코딩해 시그니처 기반 보안 솔루션의 탐지를 우회하는 방식도 활용되고 있다.
스크린커넥트를 통해 시스템에 접근한 후 공격자는 관리자 권한을 획득한 뒤 내부 이동, 계정 정보 탈취, 추가 피싱 캠페인 전개 등 다양한 악성 행위를 벌인다. 보고서에 따르면 실제 감염 사례에서는 내부 이메일 대화 중간에 악성 링크를 삽입해 공격이 마치 자연스러운 대화 수순처럼 보이게 만든 정황도 확인됐다.
더 큰 우려는 해당 공격 방식이 이미 해킹 커뮤니티에서 도구화되고 있다는 점이다. 다크웹에서는 ‘스크린커넥트 리볼루션’이라는 명칭으로 해당 방식이 포함된 악성코드 키트가 판매되고 있으며, 일부 패키지는 가상 네트워크 컴퓨팅(VNC) 은폐 기능, 윈도우 디펜더 우회 기능, 세션 복원 기능까지 포함돼 있다. 키트 가격은 최대 6,000달러(약 865만 원)에 달하며, 일부 판매자는 교육 및 고객 지원까지 제공해 원격 액세스 공격을 서비스 형태로 판매하고 있다. 이미 감염된 기업 네트워크 액세스를 500~2,000달러(약 72만~288만 원)에 거래하는 경우도 확인됐다.
현재까지 교육, 종교, 의료, 금융, 보험 및 IT 업종 등 약 900개 이상의 기관이 이 피싱 캠페인의 표적이 된 것으로 나타났다. 피해 사례는 대부분 미국에 집중돼 있으나, 캐나다, 영국, 호주 등 다른 영미권 국가도 영향을 받고 있다.
Abnormal AI는 이번 캠페인이 기존 공격과 달리 신뢰받는 플랫폼을 직접 무기로 활용하고 있다는 데 주목해야 한다고 강조했다. 기업들에게는 AI 기반 이메일 보안 솔루션 도입, 원격 액세스 도구에 대한 엔드포인트 모니터링 강화, 제로 트러스트 보안 모델 적용 등을 권고했으며, 직원 대상 보안 인식 교육도 최신 사례를 반영해 업데이트할 것을 당부했다.