[3보] 카드 이메일 명세서 위장 악성코드, 목적은 ‘돈?’

상업적인 목적으로 개발됐을 가능성 있어

최근 ‘비씨카드 이용대금 명세서’로 위장한 악성코드가 이메일로 국내에서 확산되고 있어 사용자들의 주의가 요구되고 있는 가운데, 보안업계에서는 악성코드를 배포하는 공격자의 의도에 대한 분석이 한참이다.

보안업계에서 공격자의 의도 파악에 주력하는 이유는, 이메일 명세서 악성코드가 DDoS 공격 유발할 수 있는 가능성이 있기 때문이다. 따라서 의도를 파악하면 공격자가 원하는 것을 파악할 수 있고, 이를 쫒다보면 다음 공격을 파악할 수 있기 때문이다.

▲악성코드의 설정 데이터 일부분. 헤더데이터 등의 값이 설정돼 있지 않지만 특정 값을 임의로 넣으면 사람이 검색한 효과가 나타날 수 있어 상업적인 목적으로도 개발됐을 가능성이 있다는 분석이다. ⓒ보안뉴스

현재 보안업계에서 분석한 정보에 따르면, 이번 명세서 이메일 악성코드는 액티브엑스를 설치하게 하고, 설치가 완료되면 자동으로 BA10.dll 파일과 BA10.exe 파일 등 악성코드 파일을 자동으로 다운로드한다.

그리고 이 파일은 사용자의 컴퓨터의 메일 주소를 수집해 자동으로 메일을 발송하도록 프로그램 돼 있다. 아울러 이 파일은 30초 단위로 공격자의 C&C(명령제어)서버와 통신을 해, 새로운 명령을 받아올 수 있다. 명령뿐만 아니라 발송하는 이메일의 포맷도 공격자의 구미에 따라 새로 입력할 수 있게 돼 있어, 현재처럼 카드 명세서를 위장한 공격 뿐만 아니라 다양한 방법으로 악성메일을 보낼 수 있다.

한 예로, 이 악성코드는 남아공 월드컵 메일을 위장하기도 했다. 보안업계에 따르면, 지난달 발견된 ‘남아공 월드컵 직접 볼 수 있다’란 제목의 이메일로 유포된 악성코드의 변형인 것으로 확인됐기 때문이다. 이때는 이메일 본문에 한글로 ‘첨부파일을 클릭하면 티켓을 드립니다’라며 첨부 파일(ticket.exe) 클릭을 유도했다.

악성코드에 감염되면, 이메일 명세서와 같은 공격자가 의도한 내용의 스팸 메일을 발송하며, 일부는 DDoS 공격을 하는 것으로 분석됐다. 안철수연구소와 하우리 등 보안업체에 따르면, 현재 확인된 공격 대상은 네이버의 만화, 영화, 뮤직, 포토(갤러리), 메인, 메일 페이지인 것으로 파악되고 있다.

한편, 일부 보안전문가들은 이 악성코드가 단지 DDoS 공격을 유발하는 목적이 아닐 수 있다는 가능성을 제기하기도 했다. 악성코드의 샘플을 살펴보면 DDoS 공격을 진행할 수도 있지만 특정 포털사이트에서 검색순위를 올리거나, 과도한 광고 클릭을 유발할 수도 있다는 이야기다. 따라서 전문가들은 이 악성코드의 개발 목적이 상업적인 목적이었을 가능성에도 초점을 맞추고 분석을 진행 중이다.

[오병민 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)