전국 지자체가 농·축·수산물 원산지 표시 집중 점검을 실시하는 가운데 '원산지 조사 자율 점검표'를 위장한 악성 문서가 발견됐다. 안랩은 이 같은 공격을 발견하고 이용자 주의를 당부했다.
공격자는 '별지 제31호서식'이라는 제목으로 악성 문서를 제작, 유포했다. 문서에는 실제 법령에 있는 '원산지 조사 자율 점검표(수입)' 서식 내용을 담아 이용자가 악성 문서라는 사실을 인지하기 어렵도록 했다.
이용자가 최신 보안 패치를 하지 않은 한글 프로그램으로 이 파일을 실행하면 악성코드에 감염된다. 이용자 화면에 원산지 조사 점검 서식이 나타나는 동시에 악성 스크립트가 동작한다.
공격자는 감염된 개인용 컴퓨터(PC)에서 명령제어(C2) 서버로 추정되는 특정 인터넷주소(URL)에 접속, 악성코드를 추가로 다운로드한다. 이 악성코드는 정상 프로그램을 사칭해 동작하며 정보 유출, 추가 악성코드 다운로드 등을 수행한다.
피해를 줄이려면 △오피스 소프트웨어(SW), 운용체계(OS), 인터넷 브라우저 등에 최신 보안 패치 적용 △이메일 발신자 확인 △출처 불분명한 이메일 첨부파일, URL 실행 금지 △파일 다운로드 시 정식 경로 이용 △백신 최신 버전 유지와 실시간 감시 기능 활성화 등 보안 수칙을 지켜야 한다.
김예은 안랩 분석팀 연구원은 “정상 문서로 위장한 악성 문서는 빈번하게 발견된다”면서 “평소 자주 쓰는 문서 프로그램에 보안 업데이트 현황을 확인하고 주기적으로 업데이트해야 한다”고 말했다.
오다인기자 ohdain@etnews.com