안랩 "견적서·발주서 사칭한 악성코드 유포 증가"

기사내용 요약
이메일 첨부파일·협업 플랫폼 등 업무 환경 노린 공격
발주서·품의서 등 업무 관련 이메일 첨부파일로 위장
협업 플랫폼 취약점 노려 암호화폐 채굴 악성코드 공격

안랩은 최근 업무 내용을 사칭한 이메일 첨부파일, 취약한 기업용 플랫폼 등 업무환경을 노린 악성코드 유포 사례를 잇따라 발견됐다고 밝혔다. 사진은 안랩이 공개한 견적의뢰서 위장 메일. (사진=안랩 제공) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 안랩은 최근 업무 내용을 사칭한 이메일 첨부파일로 위장하거나 기업용 플랫폼의 취약점을 노린 악성코드를 유포하는 사례가 잇따라 발견됐다며 주의를 당부했다.

21일 안랩에 따르면 공격자는 견적의뢰서나 품의서, 발주서 등으로 위장한 악성 파일로 사용자를 속이거나, 협업 플랫폼의 취약한 버전을 노려 암호화폐 채굴 악성코드 등을 유포하기도 했다.

지난달에 발견된 사례에서 공격자는 발주서, 품의서 등의 단어를 파일명으로 사용한 악성 파일(.jse·자바 스크립트 암호화 파일)을 메일 등으로 유포했다. 사용자가 파일을 실행하면 사용자 몰래 악성코드가 실행되며 사용자 계정정보 등을 탈취한다. 안랩은 실제 발주서와 구분이 어려운 PDF 파일이 함께 실행되기 때문에 사용자는 악성코드 감염을 인지하기 어렵다고 주의를 당부했다.

이달에는 선박 회사의 견적 의뢰서로 위장한 악성 메일이 발견됐다. 공격자는 실존하는 특정 선박 회사 담당자를 사칭해 가짜 메일을 유포했다. 해당 메일에는 ‘첨부된 견적의뢰서를 검토해 달라’는 내용을 기입해 사용자가 첨부파일을 실행하도록 유도했다. 메일 속 첨부파일을 실행하면 가짜 설치창이 나타나며, 동시에 악성코드가 설치된다. 설치 이후 악성코드는 명령제어(C&C) 서버에 접속해 정보유출 악성코드 등을 추가로 내려받을 수 있다. C&C서버는 공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버를 말한다.

또 글로벌 협업 플랫폼 ‘아틀라시안 컨플루언스’ 서버 중 보안 패치를 적용하지 않은 취약한 버전의 서버를 노린 공격도 발견됐다. 공격자는 허가받지 않은 파일 탐색·시스템 명령 등을 수행하거나 다양한 종류의 암호화폐 채굴 악성코드를 설치하기도 했다.

안랩은 피해 예방을 위해서 ▲출처가 불분명한 메일 속 첨부파일 실행 자제 ▲오피스 소프트웨어·운영제체 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 등을 강조했다.

또 백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙 준수를 당부했다.

김건우 안랩 시큐리티대응센터장은 “출처를 알 수 없는 이메일의 첨부파일을 실행하지 말고, 주기적으로 보안 패치를 진행하는 등 기본 보안 수칙의 실행이 조직을 지키는 중요한 방패 역할을 할 수 있다”라고 말했다.

☞공감언론 뉴시스 song@newsis.com