10월 급여명세서 사칭한 악성 이메일 주의하세요!

이문규 munch@itdonga.com

[IT동아]

급여명세서를 가장해 직장인들의 PC를 노리는 악성 이메일이 18일 오전부터 빠르게 유포되고 있어 각별한 주의가 필요하다.

통합보안 기업인 '이스트시큐리티(대표 정상원)'는 공지를 통해, 이번 이메일 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 해킹 이메일 공격 방식을 사용하고 있으며, 많은 국내 기업이 급여를 지급하는 20일, 25일 시기에 맞춰 '10월 급여명세서' 안내를 위장한 메일과 악성 파일을 배포하고 있는 것으로 확인됐다고 밝혔다.

급여명세서를 가장한 악성 이메일 사례
급여명세서를 가장한 악성 이메일 사례

이 메일에 첨부된 엑셀 문서를 열면, 정상 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 '보안경고' 창의 '콘텐츠 사용' 버튼을 클릭하도록 유도하는 안내가 뜬다. 이를 클릭하면 해커가 사전에 설정해둔 매크로 언어인 VBA(Visual Basic for application)가 실행되고, 악성 DLL 파일이 사용자 PC에 자동으로 저장된다.

이 DLL 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제, 실행 중인 프로세스 목록 등 여러 시스템 정보를 해커에게 전송하는 악성 행위와 해커에 명령에 따라 추가 악성 파일을 내려받는 다운로더 기능을 수행한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 18일 오전 확보된 악성 파일을 분석한 결과, 공격 기법, 코드 유사도 등 여러 측면에서 'TA505' 조직의 소행으로 추정했다. TA505는 러시아 지역의 공격 조직으로 알려져 있으며, 올해 상반기 불특정 한국 기업의 중앙전산자원관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포한 바있다. 또한 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사의 전자 항공권(e-티켓)을 위장한 악성 이메일을 유포하기도 했다.

ESRC 문종현 이사는 "TA505 조직의 공격에 감염되면 직장인 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼, 자연스러운 한글 표현으로 작성된 이메일을 받더라도 첨부파일을 열기 전에 발신자를 반드시 확인해야 한다"고 당부했다.

이스트시큐리티는 한국인터넷진흥원(KISA)와 긴밀히 협업하며, 이번 공격 피해 확산을 막기 위한 긴급 대응을 진행하고 있다.

글 / IT동아 이문규 (munch@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.