10월 급여명세서 가장한 악성 이메일 주의…"러시아 해킹조직 소행 추정"

급여명세서를 통보하는 이메일로 가장해 직장인들의 PC를 해킹하는 범죄가 등장해 주의가 요구된다.

통합보안업체 이스트시큐리티는 18일 오전부터 급여명세서를 사칭해 악성 파일을 첨부한 이메일이 유포됐다며 주의를 당부했다.

이스트시큐리티 제공

이 악성파일은 다수의 기업이 급여를 지급하는 시기에 맞춰 '10월 급여명세서'로 위장했다.

해당 이메일에 첨부된 엑셀 문서를 열람하면 화면 상단에 '콘텐츠 사용' 버튼을 클릭하도록 유도하는 안내창이 노출된다. 만약 이 버튼을 클릭하면 해커가 사전에 설정해둔 매크로 언어인 '비주얼 베이식 포 앱(VBA)'이 실행되고, 악성 확장자(DLL) 파일이 사용자 PC에 자동으로 깔린다.

이 경우 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보가 해커에게 전송된다. 해커에 명령에 따라 추가적인 악성 파일을 내려받는 기능을 수행한다.

이스트큐리시티가 악성 파일을 분석한 결과, 공격 기법·코드 유사도 등 여러 측면에서 러시아에 기반을 둔 해킹 조직으로 알려진 ‘TA505’ 조직의 소행으로 추정됐다.

이 조직은 올 상반기 국내 기업의 중앙전산자원관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사 전자 항공권(e-티켓)을 위장한 악성 이메일을 뿌리기도 했다.

문종현 이스트시큐리티 이사는 "TA505 조직 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려된다"며 "유창한 한글로 된 이메일을 수신하더라고 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다"고 강조했다.

[허지윤 기자]

- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -