[아이뉴스24 김혜경 기자] 최근 외교‧안보 관련 내용으로 위장한 악성 문서파일이 연이어 발견되고 있다. 이메일뿐만 아니라 해당 분야 전문가들이 참여 중인 메신저 단체 대화방에서도 악성 문서가 유포되고 있어 각별한 주의가 요구된다.
안랩은 특정 해외 매체의 인터뷰 질문지로 위장한 악성 문서 등을 포착했다고 23일 발표했다.
안랩이 발견한 문서는 'CNA[Q].doc'라는 파일명으로 정부의 외교·안보 정책 등에 대한 질문을 포함하고 있다. 사용자가 답변 작성을 위해 타이핑을 시작하면 매크로 사용을 유도하는 메시지와 '콘텐츠 사용' 버튼이 문서 상단에 나타난다.
사용자가 해당 버튼을 누르면 악성 매크로가 실행돼 사용자 PC의 최근 폴더 경로와 폴더 내용, 시스템 정보 등이 공격자 서버로 유출된다.
해당 문서를 열기 위해서는 암호가 필요하다. 이는 메일 본문에 포함된 암호 없이는 파일을 열 수 없도록 설정, 분석을 방해하거나 공격 메일을 받은 당사자만 겨냥하기 위한 것으로 추정된다.
메신저 대화방에서 발견된 악성 문서 파일명에는 '북방한계선(NLL)', '시진핑 3기 체제' 등의 키워드가 포함됐다. 특히 수신자의 의심을 피하기 위해 외교·안보 분야 특정 전문가의 실명도 파일명에 포함된 것으로 나타났다.
사용자가 해당 문서를 실행하면 공격자의 C2 서버로 연결된다. 이후 해당 서버로부터 정보탈취, 백도어 등 추가 악성코드를 내려받아 사용자가 접속한 기기에 설치할 것으로 추정된다. C2 서버란 공격자가 원격에서 공격을 수행하기 위해 사용하는 서버다.
김건우 안랩 시큐리티대응센터(ASEC)장은 "공격자들은 사용자가 관심있을 만한 소재를 활용한다"며 "출처가 불분명한 파일은 실행하지 않거나 '콘텐츠 사용' 버튼 클릭도 자제하는 등 기본 보안수칙을 준수해야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기