[아이뉴스24 김국배 기자] 국내 기업과 기관 종사자를 대상으로 악성코드가 포함된 이메일이 빠르게 유포되고 있어 주의가 요구된다.
19일 보안업체 이스트시큐리티에 따르면 이번에 발견된 악성 이메일은 '인보이스_xxxx', '송장_xxxx', 'temp_xxxx' 등의 제목이 붙은 워드(doc), 엑셀(xls) 문서 파일이 첨부돼 있다.
첨부 파일을 열람하면, 문서를 정상적으로 보기 위해 워드나 엑셀 프로그램 상단에 표시된 보안 경고창의 '콘텐츠 사용' 버튼을 누르도록 유도하는 안내가 보여진다. 해당 버튼을 누르면 공격자가 사전에 삽입해둔 매크로가 실행되며 명령제어(C&C) 서버에 접속한다.
![악성 매크로 실행을 위해 '콘텐츠 사용' 버튼 클릭 유도하는 화면 [사진=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/201902/1550578051381_1_211320.jpg)
이후 '마이크소프트 인스톨러(MSI)'를 활용해 추가 악성코드를 사용자PC로 수차례 다운로드한 뒤 최종 악성코드를 실행한다. 이 과정에서 사용자PC의 프로세스를 확인해 알려진 백신 프로그램이 실행되고 있을 경우 백신 프로그램 프로세스 종료를 시도하는 것이 특징이다.
최종적으로 실행되는 악성코드에 감염되면 공격자가 사용자PC를 원격제어할 수 있으며 사용자 정보수집, 권한 상승 등 여러 악성기능을 수행하게 된다. 이 악성코드는 상업용 원격제어 프로그램에서 유출된 소스코드를 기반으로 제작된 것으로 회사 측은 분석했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 신속히 협력해, 해당 악성코드의 C&C 서버를 차단하고 긴급 모니터링을 진행하고 있다.
문종현 이스트시큐리티 이사는 "백신 탐지를 우회하기 위해 단계적으로 수차례 악성코드를 내려받아 최종 악성코드를 실행한 부분이 지난주 국내에 대량 유포된 악성 메일과 일치한다"며 "이번 공격은 윈도 운영체제(OS) 보안 로직과 화이트리스트 기반 보안 솔루션을 효과적으로 우회할 수 있도록 기능이 강화돼 더욱 큰 피해가 예상된다"고 말했다.
이어 "출처가 불분명한 이메일에 포함된 링크나 첨부파일을 열어보지 않는 것은 사이버 공격 피해를 예방할 수 있는 가장 기본적인 보안 수칙"이라고 강조했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기