"연말정산 사칭 악성코드 조심하세요"

연말정산 안내 빙자 공격 발견
첨부파일 열고 MS워드 매크로 기능 실행하면 감염

[아시아경제 이민우 기자] 연말정산 관련 내용으로 위장한 악성 메일이 유포되고 있다. 투자자들의 각별한 주의가 요구된다.

13일 이스트시큐리티는 12일 오전부터 국내 사용자를 대상으로 이 같은 악성 메일이 유포되고 있다고 밝혔다. 이스트시큐리티에 따르면 해당 악성 메일은 '2017년과 올해 연말정산 내용의 차이를 안내한다'는 내용과 함께 '2018년도 연말정산'이라는 마이크로소프트 워드 문서(doc 파일)을 첨부했다.

첨부파일을 실행하고 콘텐츠 사용을 허용하면 MS워드의 매크로 기능이 작동한다. 이후 특정 명령제어(C&C) 서버에 접속해 악성코드를 내려 받고 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, 디도스(DDoS·분산 서비스 거부 공격) 등이 가능한 스모크봇(Smoke Bot)을 실행하는 식이다. 일반 직장인들이 MS워드로 문서를 작성할 때 매크로 기능을 자주 사용하는 점을 노렸다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과 해당 악성코드는 감염시킬 PC 환경을 스스로 확인했다. 러시아 언어를 사용하는 운영체제(OS)에서는 동작하지 않는다. 안티가상머신(VM)기능도 탑재해 가상 머신 환경에서 실행되는 자동 분석도 피한다.

이스트시큐리티는 이번 공격이 확산되는 것을 막기 위해 긴급 대응을 진행하고 있다. 한국인터넷진흥원(KISA)과도 협력하며 악성코드 유포지 접근을 차단한 상태다. 이번 공격에 대한 자세한 내용은 인공지능(AI) 기반 악성코드 위협 대응 솔루션 '쓰렛인사이드'를 통해 제공할 예정이다.

ESRC 센터장을 맡고 있는 문종현 이스트시큐리티 이사는 "이번 공격은 과거 '비너스락커', '그랜드크랩' 등의 랜섬웨어도 유포한 것으로 추정되는 조직이 저지른 것"이라며 "임직원이 보안수칙을 준수하도록 돌겨하는 등의 노력이 필요하다"고 당부했다.

이민우 기자 letzwin@asiae.co.kr