시큐아이, ‘구매주문서’ 등으로 위장한 악성 이메일 발견

▲ 견적서 요청 메일로 위장한 악성 이메일 예시

[아이티데일리] 최근 국내 기업 및 기관, 정부 단체 등에 다양한 공격들이 발견되고 있는 가운데 국내 중요 기반시설을 대상으로 하는 공격이 발견돼 주의가 요구된다.

시큐아이는 22일 오전 정상적인 메일로 위장한 악성 이메일을 발견해 담당자들의 주의가 필요하다며 이 같이 밝혔다. 해당 메일은 견적을 요청하는 듯한 내용을 담고 있으며, 특히 대용량 파일 첨부 기능을 이용해 악성 첨부파일을 다운로드하기 때문에 탐지가 어렵다는 것이 특징이다.

첨부된 파일은 ‘구매 주문서-PO-NO#6454758097,doc.ace’, ‘구매 주문서-PO-NO#6454758097,doc.rar’의 2개의 파일로 파일명에 .doc를 포함해 워드문서로 위장하고 있다.

다운로드된 악성코드는 기존에 많은 공격에 사용됐던 로키봇(LokiBot)으로, 악성코드가 실행되면 지속적인 공격을 위해 자동 실행 레지스트리에 등록하고 시스템의 정보, FTP 계정 정보, 웹브라우저에 저장된 정보 등을 탈취해 C&C 서버로 전송한다. 정상적으로 접속될 경우 추가 악성행위가 가능하다.

김선호 시큐아이 콘텐츠개발팀장은 “이번 공격은 치밀하게 준비된 공격보다는 무차별적으로 기업이나 기관을 공격하는 형태로 추정되지만 이런 공격들로 인해 국내 중요 기반시설의 보안에 허점이 발생할 수 있으니 각별한 주의가 필요하다”며, 기관 및 기업 보안 담당자의 주의를 당부했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지