해외 매체 '인터뷰 문서' 조심…"'클릭'하면 털린다"

(서울=뉴스1) 오현주 기자 = 최근 외교·안보 관련 내용을 위장한 악성 문서파일이 잇따라 발견돼 주의가 권고된다.

23일 보안기업 안랩에 따르면, 인터뷰 질문지로 위장한 후 악성 매크로 사용을 유도해 정보를 탈취하는 공격이 잇따랐다. 또 메신저 단체 대화방에 외교·안보와 연관된 제목의 악성 문서를 유포해 열람을 유도하는 경우도 있었다.

먼저 '질문지'로 위장한 파일은 특정 해외 매체의 인터뷰 문서처럼 꾸며졌다. 파일은 'CNA[Q].doc'라는 이름으로 정부의 외교와 안보 정책에 관한 질문을 담았다.

공격자는 만약 사용자가 질문을 답하기 위해 타이핑을 시작하면 매크로 사용을 유도하는 메시지와 '콘텐츠 사용' 버튼을 문서 상단에 띄웠다.

또 이 버튼을 누르면 악성 매크로가 실행돼 사용자 PC의 최근 폴더 경로 및 폴더 내용과 시스템 정보가 공격자의 서버로 유출되도록 했다.

특히 이 문서를 열기 위해서는 암호가 필요한데, 공격자가 메일 본문에 암호를 적은 뒤 함께 유포한 것으로 추정된다.

메일 본문에 포함된 암호 없이는 파일을 열 수 없도록 설정해, 분석을 방해하는 동시에 공격 메일을 받은 당사자만 겨냥한 것으로 보인다.

메신저 단체 대화방에서 유포되는 악성 문서는 주로 외교·안보 분야 전문가들이 참여중인 채팅방에서 꾸준히 발견됐다.

공격자는 파일명에 북방한계선(NLL)·중국 정치현황 등 국제동향 이슈 키워드를 넣어 열람을 유도했다. 심지어 외교안보 분야 전문가의 실명도 넣기도 했다.

또 사용자가 해당 문서를 열면 공격자의 C2 서버로 연결됐다. 여기서 'C2 서버'는 해커가 원격에서 공격을 수행하기 위해 쓰는 서버다.

해커는 해당서버에서 정보를 탈취하고, 백도어 등 추가 악성코드를 내려받아 사용자의 기기에 설치한 것으로 추정된다.

사용자에게는 △출처가 불분명한 문서 파일의 실행 및 '콘텐츠 사용' 버튼 클릭 금지 △오피스 소프트웨어(SW)·운영체제(OS)·인터넷 브라우저 등에 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등의 보안 수칙이 권고된다.

김건우 안랩 시큐리티대응센터(ASEC)장은 "최근 이메일 뿐만 아니라 메신저 단톡방 등 다양한 경로로 악성파일이 유포되고 있다"며 "공격자는 사용자가 관심있을 만한 소재를 활용하기 때문에 아무리 관심이 가는 내용의 문서라도 출처가 불분명한 파일은 실행하지 않고 '콘텐츠 사용'도 자제해야 한다"고 말했다.

woobi123@news1.kr

IT

해외 매체 '인터뷰 문서' 조심…"'클릭'하면 털린다"