[아이티데일리] 연말 정산 관련 내용으로 위장한 악성 이메일이 국내 사용자를 대상으로 유포됨에 따라 사용자의 각별한 주의가 요구된다.

13일 이스트시큐리티(대표 정상원)는 연말정산을 미끼로 악성 DOC 문서 첨부파일을 열도록 하는 이메일을 발견했다며 이같이 밝혔다. 해당 이메일은 ‘2017년과 올해 연말정산 내용의 차이를 안내한다’는 내용과 함께 DOC 문서를 첨부하고 있는 것으로 나타났다.

만약 수신자가 문서파일을 열고 콘텐츠 사용을 활성화하면 즉시 MS워드의 매크로 기능이 활성화되고 특정 C&C(명령제어) 서버를 통해 악성코드를 다운로드받아 실행한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석 결과, 이 공격에 사용된 악성코드는 감염시킬 PC 환경을 체크해 러시아 언어를 사용하는 OS 환경에서는 동작하지 않으며, 안티VM 기능을 탑재하고 있어 가상머신 환경에서의 자동 분석을 방해한다.

또한 이 악성코드는 최종적으로 ‘스모크 봇(Smoke Bot)’을 실행한다. 이 봇은 갠드크랩(GandCrab) 랜섬웨어와 동일하게 블랙마켓 등에서 특정 금액을 지불하고 구매가 가능한 봇 모듈이다. ‘스모크 봇’은 정보탈취, 로컬 프로세스 인젝션, 키로깅, 추가 악성코드 다운로드, 코인마이닝, 디도스 공격 등의 다양한 기능을 보유하고 있으며, 일단 실행되면 특정 C&C에 접속해 봇 마스터의 명령을 대기하는 동작을 수행한다.

문종현 ESRC 센터장은 “이번 연말정산 이슈를 활용한 공격은 과거 비너스락커(VenusLocker) 랜섬웨어 및 갠드크랩을 유포한 것으로 추정되는 동일 조직이 수행한 공격으로 확인됐다”며, “갠드크랩뿐만 아니라 별도로 봇 계열까지 유포한 상황은 공격 벡터 변화와 공격자의 의도를 파악하는데 의미가 있으며, 기업에서는 연말연시 이슈를 활용한 이메일 첨부파일 공격에 대비해 임직원의 보안수칙 준수를 독려하는 노력을 기울여야 한다”고 당부했다.

현재 이스트시큐리티는 이번 '연말정산' 관련 악성코드에 대한 확산과 감염을 방지하기 위해 긴급대응을 진행하고 있으며, 한국인터넷진흥원(KISA)와의 긴밀한 협력 체계를 유지하며 악성코드 유포지의 접근 차단 등 대응도 완료했다. 또한 침해 지표 등 이번 공격에 대한 보다 자세한 내용은 AI 기반 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’를 통해 제공할 예정이다.