세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[긴급] 송년회 초청 메일 ‘조심’...무심코 클릭했다간 ‘좀비 PC’ 된다
입력날짜 : 2016-12-27 10:46
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
이스트소프트 시큐리티대응센터, 송년 모임 키워드 활용 악성파일 유포 정황 발견
MS 오피스 워드 문서로 위장해 유포...매크로 기능 활성화시 추가 감염


[보안뉴스 권 준 기자] PC 및 모바일 백신 프로그램 ‘알약(http://alyac.com)’을 서비스하는 이스트소프트(대표 정상원)가 송년회 및 신년회 안내 문서로 위장한 ‘한국 맞춤형 악성 파일’ 유포 정황을 발견했다며 27일 사용자 주의를 당부했다.

▲ 송년회 문서로 위장한 ‘악성 파일 감염’ 유포 흐름도(출처 : 이스트소프트)


이번에 발견된 공격은 송년회 및 신년회 행사 장소를 안내하는 내용처럼 위장한 MS 오피스 워드(*.doc) 문서 파일을 특정 대상에게 발송하고, 사용자가 첨부된 문서 파일을 열람하면 해커가 워드 문서에 미리 저장해 놓은 매크로가 실행되는 형태이다.

매크로(Macro)는 여러 개의 명령문을 하나로 묶어 간단하게 사용할 수 있는 일종의 ‘자동 실행’ 기능으로, 이번 파일의 매크로가 실행될 경우 특정 사이트에 접속해 악성 파일을 내려받고 실행하여 사용자 PC를 이른바 ‘좀비 PC’로 감염시킨다.

이렇게 감염된 사용자 PC는 공격자가 언제든지 외부에서 원격제어를 할 수 있는 취약한 상태가 되며, 원격제어의 특성상 공격자가 감염된 사용자 PC의 대부분의 활동을 조작할 수 있어 개인 정보 탈취는 물론 악의적인 의도에 따라 더욱 큰 피해가 야기될 가능성이 있다.

▲ 송년회 문서로 위장한 악성 파일의 ‘매크로 실행’ 요구 화면(출처 : 이스트소프트)


특히 매크로가 실행되기 전 MS 오피스의 보안 기능을 통해 매크로 사용에 대한 허용 여부를 묻는 [콘텐츠 사용] 버튼이 나타나지만, 일반적인 사용자의 경우 무심코 해당 버튼을 클릭할 수 있어 더욱 각별한 주의가 당부된다.

이스트소프트 시큐리티대응센터에 따르면 이번 공격은 일반인은 물론 각종 공공기관, 기업에서 송년회, 신년회 등의 모임을 가지며 자칫 들뜨기 쉬운 연말연시 사회 분위기를 교묘히 활용한 것으로 보인다.

실제로 많은 해커들은 이러한 계절적 요인이나 올림픽, 정치 문제 등 사회적 요인을 사이버 공격의 수단으로 활발히 활용하고 있으며, 이는 평소보다 보안에 대한 주의가 다소 느슨해지기 쉬운 요인을 활용한 일종의 ‘사회공학적 사이버 공격 기법’으로 볼 수 있다.

김준섭 이스트소프트 보안사업본부 본부장은 “연말연시 시즌을 맞아 각종 모임이나 행사 초청장, 연말연시 관련 키워드 등으로 위장한 맞춤형 피싱이 성행할 수 있다는 점을 명심해야 한다”며, “특히 메일에 첨부된 문서 파일에서 매크로 실행 허용을 묻는 버튼이 나타난다면, 즉시 실행하지 않고 정상적인 출처의 문서인지 다시 확인해보는 주의를 기울여야 한다”고 강조했다.

이스트소프트 이스트소프트시큐리티 대응센터는 악성 파일의 유포 확산을 방지하기 위해 한국인터넷진흥원(KISA)과 긴밀한 공조를 통해 대응을 진행하고 있으며, 현재 알약 제품군에서는 보고된 악성 파일을 ‘Trojan.Downloader.DOC.gen’ 등의 탐지명으로 치료하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이스트소프트   송년회   악성코드   매크로   좀비PC                  


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)