송장을 가장한 악성 이메일이 대량 유포 돼 주의가 요구된다.
이스트시큐리티(대표 정상원)는 국내 기업과 기관 종사자를 대상으로 악성코드가 포함된 이메일이 급속히 유포된다고 경고했다.
발견된 악성 이메일은 '인보이스_xxxx' '송장_xxxx' 'temp_xxxx'등 이름을 가진 MS워드(doc), 엑셀(xls) 문서 파일이 포함됐다.
메일 수신자가 첨부된 파일을 열람하면, 문서를 정상적으로 보기 위해 MS워드나 엑셀 프로그램 상단에 표시된 보안 경고 창 '콘텐츠 사용' 버튼을 누르도록 유도한다.
'콘텐츠 사용' 버튼을 누르면 공격자가 사전에 삽입해 둔 매크로가 실행되고, 명령제어(C&C) 서버에 접속한다.
이후 MSI(MicroSoft Installer)를 활용해 추가 악성코드를 사용자 PC로 수차례 다운로드 한 뒤, 최종 악성코드를 실행한다. 이 과정에서 사용자 PC 프로세스를 체크해 알려진 백신 프로그램이 실행되고 있을 경우, 백신 프로그램 프로세스 종료를 시도한다.
최종 실행되는 악성코드에 감염되면 공격자가 사용자 PC를 원격제어할 수 있게 된다. 이 밖에도 사용자 정보 수집, 권한 상승 등 다양한 악성 기능을 수행한다.
문종현 이스트시큐리티 이사는 “백신 탐지 우회를 위해 단계적으로 수차례 악성코드를 내려받아 최종 악성코드를 실행한 부분이, 지난주 국내 대량 유포된 악성 메일과 일치한다”면서 “윈도 운용체계(OS) 보안 로직과 화이트리스트 기반 보안 솔루션을 우회하도록 기능 강화 돼 더욱 큰 피해가 예상된다”고 말했다.
이어 “출처가 불분명한 사용자에게서 온 이메일에 포함된 링크나 첨부파일을 열어보지 않는 것이 가장 기본적인 보안 수칙”이라고 덧붙였다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해, 해당 악성코드 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행한다.
정영일기자 jung01@etnews.com