첨부파일 열고 MS워드 매크로 기능 실행하면 감염
[아시아경제 이민우 기자] 연말정산 관련 내용으로 위장한 악성 메일이 유포되고 있다. 투자자들의 각별한 주의가 요구된다.
첨부파일을 실행하고 콘텐츠 사용을 허용하면 MS워드의 매크로 기능이 작동한다. 이후 특정 명령제어(C&C) 서버에 접속해 악성코드를 내려 받고 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, 디도스(DDoS·분산 서비스 거부 공격) 등이 가능한 스모크봇(Smoke Bot)을 실행하는 식이다. 일반 직장인들이 MS워드로 문서를 작성할 때 매크로 기능을 자주 사용하는 점을 노렸다.
이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과 해당 악성코드는 감염시킬 PC 환경을 스스로 확인했다. 러시아 언어를 사용하는 운영체제(OS)에서는 동작하지 않는다. 안티가상머신(VM)기능도 탑재해 가상 머신 환경에서 실행되는 자동 분석도 피한다.
ESRC 센터장을 맡고 있는 문종현 이스트시큐리티 이사는 "이번 공격은 과거 '비너스락커', '그랜드크랩' 등의 랜섬웨어도 유포한 것으로 추정되는 조직이 저지른 것"이라며 "임직원이 보안수칙을 준수하도록 돌겨하는 등의 노력이 필요하다"고 당부했다.
이민우 기자 letzwin@asiae.co.kr
꼭 봐야할 주요뉴스
축의금 3만원 낸 친구에 이유 물으니…"10년 전 너... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>