사회 관심사와 불안 심리를 이용한 해킹 메일이 대거로 국내에 유포되고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)는 지난 3월 25일부터 지금까지 ‘코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ‘긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안감을 이용한 이름의 악성 워드(DOC) 문서 파일을 첨부한 해킹 메일이 국내에서 퍼지고 있다고 알렸다.
이번 공격은 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악됐으며, 이메일에 첨부된 워드 파일에는 악성 매크로 명령이 공통적으로 사용된 유형으로 분석됐다.
공격자는 수신자로 하여금 ‘콘텐츠 사용’ 버튼을 눌러 악성 매크로의 활성화를 유도한다. 해당 버튼을 누르면, 실제 문서 화면을 보여주며 위협에 노출된 것을 최대한 숨기게 만든다. 다만 일부 공격의 경우 마치 문서 내용이 손상된 것처럼 깨진 문구를 보여주는 단순 속임수 전략을 구사했다.
만약 악성 매크로가 허용될 경우, 공격자가 지정한 명령 제어(C2) 서버와 통신이 이뤄지고 사용자 몰래 추가 악성 파일을 설치한다. 그리고 ▲사용자 이름 ▲백신 프로그램 종류 ▲운영체제 종류 ▲시스템 버전 정보 등을 수집해 해킹을 시도한다.
이렇게 유출된 1차 정보는 단계적 후속 공격에 필요한 제반 환경을 제공해 주는 만큼, 이메일을 확인함에 있어 항시 각별한 주의가 필요하고, 워드나 엑셀 문서 등의 ‘콘텐츠 사용’ 버튼은 보안상 허용하지 않는 것이 중요하다.
이스트시큐리티의 백신 프로그램 알약에서는 해당 악성코드들을을‘Trojan.Downloader.DOC.Gen’ 등으로 탐지 중이며, 추가적인 변종에 대해서도 지속적으로 대응 중이다.
ESRC 관계자는 “최근 사이버 위협 조직들이 유포하는 해킹 메일의 수법이 갈수록 정교하고 교묘해지고 있다. 해킹 메일을 통해 불특정 다수의 PC정보가 외부로 무단 유출되는 것은, 향후 예기치 못한 추가 피해로 이어질 수 있는 전초 단계로 볼 수 있다”라며 사용자들의 주의를 당부했다.
한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
