국내 항공사 e-티켓 사칭 해킹 메일 '주의'

[아이뉴스24 최은정 기자] 국내 항공사 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어 사용자 주의가 요구된다.

25일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 능숙한 한국어로 작성된 '**항공 e-티켓 확인증입니다' 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다.

해당 메일에는 'e-Ticket 확인증_95291015.iso' 압축 파일이 첨부됐으며, 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 'e-Ticket 확인증_66016630.pdf.scr' 파일이 나타난다. 공격자는 발신지 이메일 주소를 다양하게 만들어 차단과 추적을 어렵게 만들고 있다는 회사 측 설명이다. 악성 파일이 실행되면 특정 명령 제어(C2) 서버로 통신해 추가 악성코드를 다운로드하고 이를 실행한다.

ESRC는 상반기 한국 기업의 중앙관리(AD)서버 대상으로 클롭(Clop) 랜섬웨어를 유포한 러시아 해킹그룹 'TA505' 조직을 이번 공격의 배후로 추정하고 있다.

TA505 조직은 지난달에도 '송금증 $114.36' 내용의 악성 이메일을 한국에 다량 전파한 바 있다. 기존에는 주로 '엑셀(.xls), 문서(.doc)' 파일 매크로 기능을 활용했지만 이번에는 압축 파일 내부에 PDF 문서 파일로 위장한 실행파일을 첨부했다.

이메일에 첨부됐던 악성 코드에 감염될 경우 특정 명령 제어(C2) 서버와 통신해 공격자가 감염된 PC를 원격지에서 제어할 수 있게 된다. 또 한추가 악성코드 설치가 가능해져 특정 기업 내부 환경을 노린 맞춤형 랜섬웨어를 유포할 수 있다.

문종현 ESRC센터장은는"TA505는 사회공학적 기법과 유창한 한글로 현혹한 악성 이메일을 유포하고 있어, 유사 보안위협에 노출되지 않도록 각별히 주의해야 한다"고 말했다.