“산불 기부금 영수증·확진 안내문 메일 주의하세요”…악성 파일 다수

이메일에 숨겨진 악성 파일, 그리고 사용자들이 메일을 열어보도록 유인하는 제목 등 그 수법이 점차 교묘해지고 있습니다. 최근에 일어난 울진 산불이나 사람들의 관심사가 높은 코로나19 확진 등을 제목과 첨부파일로 해 누구나 의심하지 않고 열어볼 수 있도록 지능화되는 겁니다.

보안 업체 안랩은 지난 3월 한 달간 '울진 산불 피해 기부금 영수증', '코로나 확진자 및 동거인 안내문’, ‘제품 소개 카탈로그’ 등 다양한 내용으로 위장한 악성 문서 파일을 다수 발견했다고 오늘(6일) 밝혔습니다.

■ '울진 산불 피해 기부금 영수증’ 위장 악성 문서

안랩의 모니터링에 따르면, ‘울진 산불’을 악용해 제작 유포된 악성 문서 파일이 다량 발견됐습니다.

공격자는 실제 많이 사용되는 기부금 영수증 서식(.doc)에 ‘울진 화재복구’라는 문구와 임의의 기부 금액을 써넣어 사용자의 의심을 피했습니다.

해당 파일에는 악성 매크로가 삽입돼 있고 파일 실행 시 문서 상단에 ‘콘텐츠 사용’ 버튼이 나타났다고 안랩 측은 설명했습니다.

사용자가 무심코 ‘콘텐츠 사용’ 버튼을 누르면 악성 매크로가 동작하고, 사용자 몰래 악성 URL에 접속해 추가 악성코드를 다운로드 하는 등 악성 행위를 수행할 수 있는 구조라는 겁니다.

■ ‘코로나 확진자 및 동거인 안내문’으로 위장하기도…악성 문서 파일 내장

지난달 역대 최다 신규 확진자 수를 기록했던 코로나19. 악성 메일은 이러한 사회적 이슈도 교묘히 파고들었습니다.

안랩에 따르면, ‘확진자 및 동거인 안내문 (50)’이라는 제목의 악성 윈도우 도움말 문서파일(.chm)이 다수 발견됐습니다.

만약 사용자가 해당 파일을 실행하면 정상적인 확진자 및 동거인 안내문 내용이 나타나고 동시에 악성스크립트가 몰래 내려받아지면서 악성파일이 사용자 PC에 실행되는 구조입니다.

이 악성 파일은 특정 URL에 접속해 추가적인 악성 행위를 수행할 수 있다고 안랩은 설명했습니다.

이 외에도 3월에만 ‘개발 SW 사용 가이드’, ‘계약서 작성법’, ‘가상자산 상속/증여 평가방법 안내’ 등 다양한 주제로 위장한 악성 윈도우 도움말 문서파일(.chm)이 발견됐다고 안랩은 덧붙였습니다.

■ ‘제품 소개 카탈로그’ 위장 악성 문서 사례

‘제품 소개 카탈로그’ 위장 악성 문서 파일(.doc)도 발견됐습니다. 해당 파일을 열면 특정 기업의 제품 소개 카탈로그 내용과 함께 상단에 ‘콘텐츠 사용’ 버튼이 나타납니다.

만약 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 악성코드에 즉시 감염되는 방식입니다. 감염 이후 악성코드는 C&C 서버(*)에 접속해 공격자의 명령에 따라 사용자 PC의 정보를 탈취하는 등 악성 행위를 수행할 수 있다고 안랩은 말했습니다.

특히 카탈로그에는 실제 존재하는 기업의 제품 소개가 나타나기 때문에 사용자들은 악성코드 감염 사실을 쉽게 알아차리기 어렵다는 게 특징입니다.

*C&C (Command & Control) 서버: 공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버

이에 안랩은 피해를 예방하기 위해 메일 사용자들은 ▲출처가 불분명한 문서 파일의 다운로드/실행 및 ‘콘텐츠 사용’ 버튼 클릭 금지 ▲오피스 SW, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지킬 것을 당부했습니다.

안랩 측은 "공격자는 사용자들이 많은 관심을 보일만 한 특정 시기의 소재를 적극적으로 활용해 악성코드를 유포한다."라며 "사용자가 피해를 예방하기 위해서는 출처가 불분명한 문서 파일을 함부로 열지 말고, 열었더라도 ‘콘텐츠 사용’ 버튼 클릭을 자제하는 등 기본적인 보안수칙을 지켜야 한다."라고 말했습니다.