통합보안업체 이스트시큐리티는 18일 오전부터 급여명세서를 사칭해 악성 파일을 첨부한 이메일이 유포됐다며 주의를 당부했다.
이스트시큐리티 제공 |
이 악성파일은 다수의 기업이 급여를 지급하는 시기에 맞춰 '10월 급여명세서'로 위장했다.
해당 이메일에 첨부된 엑셀 문서를 열람하면 화면 상단에 '콘텐츠 사용' 버튼을 클릭하도록 유도하는 안내창이 노출된다. 만약 이 버튼을 클릭하면 해커가 사전에 설정해둔 매크로 언어인 '비주얼 베이식 포 앱(VBA)'이 실행되고, 악성 확장자(DLL) 파일이 사용자 PC에 자동으로 깔린다.
이 경우 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보가 해커에게 전송된다. 해커에 명령에 따라 추가적인 악성 파일을 내려받는 기능을 수행한다.
이스트큐리시티가 악성 파일을 분석한 결과, 공격 기법·코드 유사도 등 여러 측면에서 러시아에 기반을 둔 해킹 조직으로 알려진 ‘TA505’ 조직의 소행으로 추정됐다.
이 조직은 올 상반기 국내 기업의 중앙전산자원관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사 전자 항공권(e-티켓)을 위장한 악성 이메일을 뿌리기도 했다.
문종현 이스트시큐리티 이사는 "TA505 조직 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려된다"며 "유창한 한글로 된 이메일을 수신하더라고 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다"고 강조했다.
[허지윤 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.