[디지털투데이 석대건 기자] 10월 월급 명세서가 악성 해킹 파일로 둔갑했다.
이스트시큐리티(대표 정상원)는 18일 오전부터 급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있다고 밝혔다.
특정 대상에게 악성 파일이 첨부된 이메일을 발송하는 방식의 이번 공격은 많은 국내 기업의 급여 지급일인 20일, 25일 시기에 맞춰 배포됐다. 메일 이름은 ‘10월 급여명세서’로, 안내를 위장한 메일과 함께 엑셀로 꾸민 악성파일이 첨부됐다.
만약 수신자가 첨부된 엑셀(EXCEL) 문서를 열람하면, 정상적인 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하는 안내가 노출된다.
그때 이 버튼을 클릭하게 되면 해커가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application)가 실행되고, 악성 DLL 파일을 사용자 PC에 자동으로 다운로드 받게 된다.
이후 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하는 악성 행위와 해커에 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능까지 수행하게 된다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)이 분석한 결과 공격 기법, 코드 유사도 등 여러 측면에서 ‘TA505’ 조직의 소행으로 추정된다고 전했다.
‘TA505’는 러시아 지역 기반의 공격 조직으로 알려져 있으며, 올해 상반기 불특정 한국 기업의 중앙 전산 자원 관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사 ‘전자 항공권(e-티켓)을 위장한 악성 이메일을 유포한 바도 있다.
문종현 ESRC 이사는 “러시아 기반 해커 조직으로 추정되는 TA505는 기업 내부 네트워크를 통해 전파되는 클롭 랜섬웨어를 유포하고, 직장인을 대상으로 휴가철과 급여일을 맞춘 지능적인 해킹 이메일을 배포하는 등 기업을 위협하는 공격을 계속 시도하고 있다”며, “TA505 조직의 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼, 유창한 한글로 된 이메일을 수신하더라고 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”고 당부했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)와 긴밀한 공조 체계를 유지하며, 이번 공격 피해 확산을 방지하기 위한 긴급 대응을 진행하고 있다.
SNS 기사보내기
관련기사
- 무역·투자 종사자 타깃 삼은 악성 해킹 이메일 유포 中
- 여론몰이-음란물 된 '딥페이크'...우리사회는 대응할 수 있을까?
- 랜섬웨어, ‘19년 3분기 동안 매일 2500번 공격 시도… “갠드크랩 빈자리에 소디노키비가 채워”
- [국감] 이원욱 "디지털성범죄 위반 5년간 4만건↑...매년 증가"
- 누군가 내 컴퓨터를 암호화폐 채굴에 사용한다...’크립토재킹‘ 최근 4년간 1,500여건 탐지
- 최근 5년간 금융기관 앱, 포털 앱 사칭 악성 앱 건수 약 1만 8천여 건 달해
- 동영상 플레이어 'jwplayer' 다운로드로 속여 PC 감염시키는 블루크랩 랜섬웨어 유포
- 가상화폐 투자자 노리는 악성코드 유포中…시큐아이, “유사 공격 지속될 것"
- "60만 달러 해외 투자 유치"...프랑스 미콤서 한국 콘텐츠 우수성 알려
- ‘가짜 홈페이지·유튜브에, SNS까지 활용’...탈북자, 대북 분야 관련자 노린 ‘모바일 APT’ 공격 발견
- 헬스케어에도 보안은 생명… KISA-원주시·WMIT, 디지털 헬스케어 보안 MOU 체결
- KISA-KB금융, 스팸문자 막을 아이디어 찾는다