연말정산을 앞두고 관련 내용으로 위장한 악성메일이 발견됐다. 지난 12일 오전부터 메일이 유포되고 있어 각별한 주의가 필요하다.
13일 보안기업 이스트시큐리티에 따르면, ‘2017년과 올해 연말정산 내용의 차이를 안내한다’는 내용의 이메일이 유포돼 ‘2018년도 연말정산’ 문서 첨부파일을 첨부해 사용자가 이를 열람하도록 유도하고 있다.
메일 수신자가 궁금증을 갖고 이 문서 파일을 열어 콘텐츠 사용 버튼을 누르면, 그 즉시 MS워드의 매크로 기능이 활성화되고 특정 명령제어(C&C) 서버를 통해 악성코드를 내려받아 실행한다.
MS 워드에서 제공하는 매크로 기능은 문서 작성 중 반복적인 동작이 필요한 경우, 사전에 기록된 명령을 자동으로 실행해 문서 편집의 효율성을 높여주는 기능이다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과, 공격에 사용된 악성코드는 가상머신 환경에서 자동분석을 방해하는 기능 등을 사용해 보안 솔루션이 악성코드를 탐지하기 어렵게 만들었다. 해당 악성코드는 최종적으로 추가 악성코드 다운로드 등을 지속 수행하는 ‘스모크 봇’을 실행해 추가 피해 가능성이 존재한다. 이 공격에 사용한 기술인 ‘스모크봇’은 정보탈취, 로컬 프로세스 인젝션(침입), 키로깅(Key Logging), 추가 악성코드 다운로드, 암호화폐 채굴, 분산형 거부(DDoS, 디도스) 공격 등 다양한 기능을 수행할 수 있으며, 일단 실행되면 특정 C&C에 접속해 봇 마스터의 명령을 기다리도록 설계됐다.
문종현 ESRC 센터장은 “과거 비너스락커, 갠드크랩 랜섬웨어 등을 유포한 것으로 추정되는 조직이 이번 공격을 수행한 것으로 확인됐다”며 “기업에서는 이러한 연말연시 이슈를 활용한 이메일 첨부파일 공격에 대비해 임직원의 보안수칙 준수를 독려하는 노력을 기울여야 한다”고 강조했다.