침해사고/위협동향

“방역수칙 위반했으니 경찰서 출석하세요”, 불안심리 악용한 해킹 급증

이종현
[디지털데일리 이종현기자] 보안기업 이스트시큐리티는 여러 사회적 관심사와 불안심리를 파고든 해킹 메일이 국내에 대량 유포 중이라고 7일 밝혔다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 지난 3월 25일부터 ‘코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ’긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안을 야기하는 이름의 악성 워드(.doc) 문서파일을 첨부한 해킹 메일이 국내에 대량 유포되는 중이다.

이번 공격은 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악됐다. 이메일에 첨부된 워드 파일에는 악성 매크로 명령이 공통적으로 사용된 유형이다.

공격자는 수신자로 하여금 ‘콘텐츠 사용’ 버튼을 눌러 악성 매크로의 활성화를 유도한다. 해당 버튼을 누르면 실제 문서 화면을 보여주며 위협에 노출된 것을 최대한 숨기게 만든다. 일부 공격의 경우 문서 내용이 손상된 것처럼 깨진 문구를 보여주는 단순 속임수 전략을 구사했다.

악성 매크로가 허용될 경우, 공격자가 지정한 명령 제어(C2) 서버와 통신이 이뤄지고 사용자 몰래 추가 악성 파일을 설치한 뒤 ▲사용자 이름 ▲백신 프로그램 종류 ▲운영체제(OS) 종류 ▲시스템 버전 정보 등을 수집해 유출한다. 유출 정보는 단계적 후속 공격에 필요한 제반 환경을 제공하는 만큼 각별한 주의가 필요하다는 것이 ESRC의 설명이다.

이스트시큐리티의 백신 프로그램 ‘알약’에서는 해당 악성코드를 탐지 중이다. 추가적인 변종에 대해서도 대응을 이어가고 있다.

ESRC 관계자는 “최근 사이버 위협 조직들이 유포하는 해킹 메일의 수법이 갈수록 정교하고 교묘해지고 있다”며 “해킹 메일을 통해 불특정 다수의 PC정보가 외부로 무단 유출되는 것은, 향후 예기치 못한 추가 피해로 이어질 수 있는 전초 단계로 볼 수 있다”고 말했다.

한편 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 공유했다. 기존에 알려진 위협이 확산되지 않도록 협력을 유지 중이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널