침해사고/위협동향

디스코드서 ‘국내 포털 아이디 거래 계약서’ 사칭 악성코드 유포

이종현
악성 파일 작동 시 보여지는 계약서 화면 /이스트시큐리티
악성 파일 작동 시 보여지는 계약서 화면 /이스트시큐리티
[디지털데일리 이종현기자] 유명 채팅 서비스 ‘디스코드’를 악용해 국내 포털 ‘아이디 거래 계약서’를 사칭한 악성코드가 유포 중인 것으로 확인됐다.

4일 보안기업 이스트시큐리티는 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있어 주의가 필요하다고 밝혔다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)가 발견한 이번 공격의 악성 파일명은 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이다. 해외 상용 난독화 제품으로 닷넷 함수를 암호화해 코드 분석 방해와 백신 탐지를 우회하도록 제작됐다.

ESRC는 작년 말에도 ▲전체회원정보 및 비밀번호포함_xls(4).scr ▲관리정산 및 모든자료_xls(3).scr ▲거래안내_및_가격표_신청안내_xls3.exe 등의 파일명으로 유사한 형태의 공격이 다수 보고한 바 있다. 이런 유형의 공격이 현재도 지속적으로 발견되는 상황이다.

공격에 쓰인 파일은 정상적인 문서파일로 보이지만 실제로는 엑셀(.xls), 한글(.hwp) 등 ㅁ문서 확장자 뒤 실행파일(.exe), 화면보호기(.scr) 등 숨겨진 확장자가 존재하는 2중 확장자명 위장 수법이다. 이는 윈도 운영체제(OS)에서 ‘확장자명 숨김 처리’를 기본 설정으로 돼 있는 것을 악용한 것이다.

숨겨진 파일 확장자를 인지 못할 경우 정상 문서로 착각해 파일을 열어보면 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 해킹 피해로 이어질 수 있다.
디스코드 파일 저장소가 유포지로 설정된 화면 /이스트시큐리티
디스코드 파일 저장소가 유포지로 설정된 화면 /이스트시큐리티

ESRC는 악성 파일의 난독화 기능을 해제해 코드 내부를 분석한 결과 디스코드의 파일 저장소가 또다른 추가 아성 파일 배포 목적의 경유지로 악용된 것을 확인했다고 전했다. 공격자는 디스코드 콘텐츠전송네트워크(CDN) 경로에 정상 hwp 문서와 닷넷 오픈소스 기반 ‘AsyncRAT’ 악성 에이전트 파일을 연결해 사용자 컴퓨터에 ‘Microsoft.exe’ 파일명으로 싱행되로록 만들었다.

AsyncRAT 위협에 노출될 경우 공격자는 원격제어 권한을 획득해 사용자의 PC 화면 녹화와 키보드 입력 내용 탈취 등 대부분의 기능 통제가 가능해진다.

문종현 이스트시큐리티 ESRC 센터장은 “고전적인 2중 확장자 방식의 수법이 여전히 성행하고 있다. 이메일이나 메신저로 전달받은 파일의 확장자는 항상 눈여겨 봐야 한다”며 “파일 확장자명을 확인할 수 있도록 윈도 폴더 옵션을 변경하고 아이콘과 확장자를 꼼꼼히 살피는 보안 습관을 길러야 한다”고 당부했다.

이어서 그는 “이용자들의 단순 호기심 유발과 사회적으로 관심이 높은 키워드를 구사하는 사회공학적 해킹 공격은 여전히 유효하다”며 “누구든 새로 받은 파일에 접근할 때는 항상 의심하고 조심하는 자세가 필요하다”고 부연했다.

이스트시큐리티는 새롭게 발견된 악성 파일을 백신 프로그램 ‘알약’에 긴급 추가했다. 후속 대응 조치를 위해 한국인터넷진흥원(KISA) 소통 중이다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널