확인 미뤘던 이메일 무심코 눌렀다간 ‘좀비 PC’ 된다

금방 할 수 있지만 미뤄두는 일 중 하나가 이메일 확인이다. 특히 설 연휴 기간이 끝나고 업무에 복귀하고 이메일을 열면 메일이 쌓여있는 경우가 많다. 하지만 악성코드가 있는 이메일이 있을 수도 있다. 설 연휴 후 기분 좋게(?) 업무에 복귀하기 위해서는 연초부터 날아드는 낚싯바늘을 피해야 한다.

최근 주의할 제목으로 떠오르는 이메일이 국가기관 사칭이다. 이스트소프트에 따르면 지난해 4분기 꾸준히 유포되다 잠복기를 가진 악성코드 이모텟(Emotet)은 지난 14일부터 다시 퍼지고 있다.

이모텟은 자가복제와 사용자 정보 탈취 등을 수행한다. 첨부파일 클릭을 유도하기 위해 국내 다양한 기관과 기업을 사칭하고 업무공유・지원요청・청구서・견적서 등 한글로 쓰여 전송된다.

이번 공격은 기업 구성원이 함께 수신하는 ‘그룹메일’을 중심으로 퍼지고 있다.

수신자가 doc 문서 파일을 열어보고 매크로 기능을 활성화하면 악성파일 설치 도구인 파워셸 코드가 실행된다. 이후 공격자가 준비한 C&C 서버에 접속해 이모텟 악성코드를 내려받게 된다.

이후 이모텟은 사용자 PC에서 자가복제와 자동실행으로 △사용자 PC 정보 탈취 △추가 악성코드 다운로드 △무단 침입 통로인 백도어 역할 등을 수행한다.

이스트소프트 프로그램 ‘알약’은 해당 악성코드를 ‘Trojan.Agent.Emotet’과 ’Trojan.Downloader.DOC.Gen’으로 인식해 차단・치료하고 있다.

대표적인 지능형 지속위협(APT) 공격 조직 중 하나인 ‘코니(Konni)’의 스피어 피싱(Spear Phishing) 공격 시도도 주의해야 한다. 이번 APT 공격도 이메일에 악성문서 파일을 첨부하는 방식이다. 공격에 활용된 문서 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하다. 내부 코드 페이지가 한국어 기반으로 제작된 점도 특징이다. 문서는 러시아어로 작성됐다. 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용이 담겨있다.

특히 2020년 일본 패럼림픽 관련 문서 파일명은 실제 자선 단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’여서 각별한 주의가 필요하다.

사용자가 첨부된 해당 내용에 속아 '컨텐츠 사용' 버튼을 누를 경우 겉으로는 정상적인 문서 내용을 보여주고 악성코드가 은밀히 실행된다. 이렇게 감염된 PC는 공격자가 임의로 지정한 서버로 사용자 PC 시스템의 주요 정보를 올린다. 이후 공격자의 추가 명령에 따라 원격제어가 가능해 2차 피해가 가능하다.

최근 ‘통일외교안보특보 세미나 발표 문서’를 사칭한 스피어 피싱(Spear Phishing) 공격도 치밀하다. 공격에 사용된 악성 doc 문서 파일은 미국 내 연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등을 포함한다. 스피어 피싱은 작살낚시에 빗댄 표현이다. 불특정 다수가 아닌 특정기관이나 기업 내부 직원을 표적 삼아 집중 공격하는 행위를 가리킨다.

해당 파일을 열면 MS워드 프로그램 상단에 보안 경고창이 나타난다. 이어 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타난다.

이스트시큐리티는 이번 공격이 지난 6일(현지시간) 미국 싱크탱크 국익연구소가 워싱턴DC에서 진행한 세미나가 있었던 점을 악용한 것으로 판단했다.

실제 발견된 악성문서 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’ 이다.

수신자가 이 파일을 실행하고 매크로 사용을 허용하면 국내 특정 서버에서 악성코드가 추가 설치된다. 이후 사용자 PC 시스템 정보와 최근 실행 목록, 실행 프로그램 목록 등을 수집하고 공격자 추가 명령을 기다리는 ‘좀비 PC’로 전락한다.

좀비 PC가 되면 공격자가 원격제어 등으로 언제든 추가 악성 행위를 시도할 수 있어 2차 피해 가능성이 높다. 이번 공격은 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일하다고 이스트시큐리티는 설명했다. 김수키 조직 배후에는 북한이 있는 것으로 추정된다. 지난해 10월에는 동일한 지능형 지속 위협(APT) 공격자가 북한 난민 구출 요청처럼 위장한 내용으로 스피어 피싱 공격을 수행했다. 당시 사용된 악성 문서 파일 작성자 계정은 이번 공격에 사용된 것과 동일한 것으로 분석됐다.

연말에는 유명 포털 ‘보안 프로그램 다운로드’ 고객 안내 페이지 위장도 벌어져 경각심이 일기도 했다. 사용자가 해당 파일을 내려 받아 실행하면 ‘보안 프로그램이 성공적으로 설치되었습니다’라 화면이 나타나 악성코드 감염을 인지하기 어려웠다.

안랩은 악성코드 피해 방지를 위해 △출처가 불분명한 메일 내 URL 및 첨부파일 실행금지 △보안이 확실하지 않은 웹사이트 방문 자제 △OS(운영체제)와 인터넷 브라우저(IE・크롬・파이어폭스 등) 최신 버전 유지와 보안 패치 적용 △V3 등 백신 프로그램 최신버전 유지와 실시간 검사 실행 등 필수 보안 수칙 실행을 권고했다. 악성코드 감염은 PC와 스마트폰을 가리지 않으므로 출처가 불분명한 제목에는 관심 갖지 않는 것이 최선이라는 의미다.