개인은 일반적으로 무료로 제공되는 물품, 특히 유용성이 있고 일상 생활에 큰 영향을 미칠 수 있는 잠재력이 있는 물품에 감사해합니다. 또한 많은 사람들이 기프트 카드에서 다른 바람직한 기술 기기를 구입하는 데 사용할 수 있는 가치를 발견합니다. 그러나 모든 기술 제품이 광고와 같은 것은 아니며 일부 제품은 네트워크 내에서 악성 소프트웨어를 유포하는 기만적인 수단으로 사용될 수 있으므로 주의를 기울이는 것이 중요합니다.

무료 가젯은 누가 왜 배포하는가?

어떤 경우에는 기업이 마케팅 전략의 일환으로 요청하지 않은 장비를 배포할 수 있습니다. 예를 들어, 기술 저널리즘에 종사하는 경우 혁신에 대한 노출을 원하는 제조업체로부터 이러한 제안을 받을 수 있습니다. 일반적으로 이러한 물품은 사전에 계획된 준비를 마친 후 수령인의 거주지로 배송됩니다.

전례가 없고 의심스러운 사건이 발생했는데, 사전 합의나 준비 없이 새로운 장비가 주거지로 예상치 못한 배송을 받았습니다.

회원님의 개인 정보를 사용하여 허위로 아마존에 등록한 개인이 부정한 방법으로 제품을 획득했을 가능성도 있습니다. 이러한 행위를 일반적으로 “브러싱” 사기라고 하며, 부도덕한 판매자가 의심하지 않는 소비자의 이름으로 상품을 구매하여 표준 이하의 상품에 대한 호의적인 평가를 생성할 수 있습니다. 이러한 광고 방식은 패키지를 받는 사람들에게 당혹감과 의구심을 불러일으키는 것 외에 큰 해를 끼치지는 않지만, 진성 고객이 무의식적으로 결함이 있거나 품질이 떨어지는 상품을 구매할 수 있는 위험이 존재합니다.

데이터 추출을 위해 설계된 유해한 소프트웨어에 의해 최근에 구입한 장치가 잠재적으로 감염되어 집중 공격의 희생양이 될 수 있는 다른 시나리오가 존재합니다.

본인이 직접 구매하지 않은 전자제품은 사용하지 마세요

사이버 범죄자가 첨단 기기 배송을 민감한 정보를 훔치는 수단으로 활용한다는 개념은 믿기지 않을 수 있지만, 실제로 그러한 사례가 보고되고 있습니다.

사이버 범죄의 피해자가 될 가능성은 범죄 단체가 노리는 민감한 정보에 노출되는 정도에 따라 영향을 받을 수 있습니다. 정부 기관, 군사 조직, 법 집행 기관 및 기타 공공 기관에 소속된 개인은 권한이 있는 데이터에 접근할 수 있는 경우가 많기 때문에 무단 액세스를 원하는 사이버 범죄자의 주요 표적이 될 수 있습니다. 이러한 공격자는 이러한 액세스를 통해 데이터 침해를 저지르거나 랜섬웨어 캠페인을 시작할 수 있습니다.

이 글도 확인해 보세요:  사이버 보안에서 '야생'이란 무엇을 의미하나요?

2023년 6월, 미 육군 범죄수사단 는 군 장병들이 원치 않는 스마트워치를 받았다는 경고 전단지를 배포했습니다.

이 시계는 지나치게 비싸지 않으면서도 고급스러운 특성을 지니고 있어 웰빙과 체력을 우선시하는 사람들에게 바람직한 장신구였습니다. 심박수와 혈압을 모니터링할 수 있는 기능, 습기에 강하고 내구성이 뛰어난 케이스, 만보계 기능, 남녀 공용 및 성별에 따라 선택할 수 있는 세련된 손목 밴드 등 다양한 기능을 갖추고 있습니다.

출처: Amazon

육군 CID는 이러한 스마트워치에 권한이 없는 개인이 기기의 마이크와 카메라를 원격으로 활성화하여 민감한 대화 및 관련 계정 정보에 액세스할 수 있도록 하는 악성 소프트웨어가 탑재되어 있다고 보고했습니다.

이 홍보 자료는 또한 이 시계가 사용자의 요청 없이도 Wi-Fi 네트워크에 원활하게 연결되는 최첨단 기능을 갖추고 있어 광범위한 개인 정보에 자유롭게 액세스할 수 있다고 경고했습니다. 이러한 기술의 능력은 일반적인 범법자들이 일반적으로 접근할 수 있는 범위를 넘어서는 수준의 복잡성을 시사합니다. 블루투스 연결을 통한 블루재킹 행위는 이미 널리 알려진 수법이지만, 이처럼 작고 저렴해 보이는 가젯에 무차별 암호 대입과 기타 정교한 방법을 사용하여 보안성이 높은 군용 무선 시스템까지 침입할 수 있는 하드웨어 구성 요소가 있다는 사실은 놀랍습니다.

이러한 첨단 손목 착용 장치를 제공받은 개인은 장치를 활성화하지 말고 방첩 또는 보안 관리자에게 즉시 연락하여 추가 안내를 받도록 권장합니다.

미국 법무부 에 따르면 동유럽 Fin7 지능형 지속 위협 그룹은 적어도 2015년부터 미국 소매, 레스토랑, 게임 및 서비스 산업 종사자를 대상으로 보건부, 복지부, 아마존, 베스트바이 등 합법적인 조직을 사칭해 왔습니다.

Fin7은 미국 우체국(USPS)을 사기의 일부로 활용하여 합법적인 50달러 기프트 카드와 함께 구매 추천이 담긴 USB 드라이브를 잠재적 피해자에게 발송합니다.

이 USB 스틱에는 기업 네트워크에서 데이터를 훔치고 랜섬웨어를 배포하도록 설계된 바이러스가 포함되어 있었습니다. HackRead 에 따르면 이후 버전에는 키보드처럼 작동하도록 프로그래밍된 Arduino 마이크로 컨트롤러도 포함되어 있었습니다.

이 글도 확인해 보세요:  봇넷 공격을 탐지하고 완화하는 방법

합법적으로 보이는 장치에도 바이러스가 포함될 수 있음

우편을 통해 승인되지 않은 전자 장비를 받으면 의심을 할 수 있지만, 악의적인 개인이 유통 과정의 여러 지점에서 USB 저장 장치를 얻는 것은 불가능한 일이 아닙니다. 이러한 사례에 대한 보고는 자주 문서화되어 있습니다.

2018년 Hackread 는 슈나이더 일렉트릭 Conext Combox 및 Conext 배터리 모니터 제품과 함께 배송된 USB 이동식 미디어에 “타사 공급업체의 시설에서 제조하는 동안” 추가된 바이러스가 포함되었을 수 있다고 보고했습니다.

2006년 맥도날드 재팬은 MP3 플레이어 10,000대를 경품으로 제공했습니다. The Register 에서 보고한 바와 같이, 이 장치에는 10개의 MP3 트랙과 함께 QQpass 스파이웨어 트로이 목마가 포함되어 있었습니다. 사용자가 음악 컬렉션을 관리하고 전송하기 위해 MP3 플레이어를 가정용 PC에 연결하면 암호 및 기타 민감한 정보가 범죄자에게 전송되었습니다.

디바이스의 바이러스에 대한 예방 조치

유감스럽게도 자신의 소유물에 대한 절대적인 신뢰는 달성할 수 없는 이상입니다. USB 기기의 제작과 유통을 포함한 모든 생산 및 유통 단계에서 악성 소프트웨어에 감염될 수 있습니다. 게다가 군인들조차도 마법에 걸린 듯 정교한 악성코드에 직면하고 있습니다.

개인의 안전을 보장하기 위해 컴퓨터 시스템에 최신 바이러스 백신 소프트웨어를 설치하고, 불필요한 기술 자료는 모두 폐기하며, 새롭고 밀봉된 USB 드라이브만 사용하는 것이 좋습니다.

By 김민수

안드로이드, 서버 개발을 시작으로 여러 분야를 넘나들고 있는 풀스택(Full-stack) 개발자입니다. 오픈소스 기술과 혁신에 큰 관심을 가지고 있고, 보다 많은 사람이 기술을 통해 꿈꾸던 일을 실현하도록 돕기를 희망하고 있습니다.