"어, 아는 사람이네" 의심없이 메일 클릭…'악성코드' 이렇게 감염된다
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
지난해 10월의 '이태원 참사' 관련 정부 보고서를 사칭한 문서에 악성코드를 심어 정보탈취를 시도하는 등 최근 지속적으로 발생한 사이버공격 행위에 대한 분석 보고서가 나왔다.
KISA(한국인터넷진흥원)는 과학기술정보통신부와 함께 최근 지속적으로 발생한 해킹 메일 공격에 대한 보안 취약점 상세 분석 보고서를 27일 발표하며 이같이 밝혔다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
MS워드 등 MS오피스 프로그램서 HTML 처리할 때 익스플로러 스크립트 엔진 활용할 때를 노린 공격
"OS 지속 업데이트로 대비, 아는 사람 메일도 의심할 필요... 열람시 가상환경 열람 등 필요"
지난해 10월의 '이태원 참사' 관련 정부 보고서를 사칭한 문서에 악성코드를 심어 정보탈취를 시도하는 등 최근 지속적으로 발생한 사이버공격 행위에 대한 분석 보고서가 나왔다.
KISA(한국인터넷진흥원)는 과학기술정보통신부와 함께 최근 지속적으로 발생한 해킹 메일 공격에 대한 보안 취약점 상세 분석 보고서를 27일 발표하며 이같이 밝혔다.
KISA에서 발간한 '정부 보고서 위장 MS(마이크로소프트) 워드 제로데이 취약점 상세분석' 보고서가 구글 TAG(위협분석그룹)을 인용한 데 따르면 지난해 '이태원 참사 정부 보고서'를 사칭한 피싱메일 공격은 북한 해킹그룹인 'APT 37'의 공격으로 추정된다.
KISA는 해커의 공격이 IE(인터넷 익스플로러)의 취약점을 악용해 총 3단계의 과정을 거쳐 수행됐음을 밝혀냈다. 우선 공격자는 공격 대상 사용자를 속이기 위해 악성코드가 삽입된 MS워드 파일을 피싱메일에 첨부해서 보낸다.
사용자가 메일에 첨부된 MS워드 문서를 열람하면 사용자PC는 공격자 서버로 접속돼 악성 RTF(서식파일)를 다운로드한다(1단계). 악성 RTF 파일에 삽입돼 있는 URL(인터넷주소)를 통해 공격자 서버에서 악성 HTML 파일이 추가로 사용자 PC에 다운로드된다(2단계).
MS워드에서 HTML 파일을 처리하기 위해 익스플로러의 스크립트 엔진(JScript9)을 사용하는데 이 엔진의 취약점으로 인해 악성코드가 실행된다(3단계).
해커는 MS워드 등 다른 기존 프로그램에서 HTML 파일을 실행할 때 활용되는 익스플로러 스크립트 엔진 취약점을 악용해 공격했다. MS는 해당 취약점을 확인해 2022년 11월에 보안 패치를 발표했지만 MS오피스 등 일부 소프트웨어에서는 HTML 파일을 실행할 때 여전히 익스플로러의 HTML 해석기능을 사용하는 경우가 있어 언제든 비슷한 형식의 취약점을 악용한 공격이 발생할 수 있는 것으로 지적됐다.
보고서는 "스피어피싱 메일은 가장 보편적으로 APT(지능형 지속 위협) 공격에 활용되는 방법으로 사용자를 가장 쉽게 속일 수 있다"며 "익스플로러 지원이 종료됐지만 워드, 파워포인트 등이 아직도 옛 익스플로러 모듈을 일부 가져다 쓰고 있기 때문에 여전히 취약점이 발견돼 악용될 수 있다"고 했다.
또 "APT 공격은 이미 공개된 취약점을 사용하기도 하지만 패치가 발표되지 않은 제로데이 취약점을 사용할 수 있어 정기적 보안 업데이트를 수행하더라도 공격에 노출될 수 있다"며 "출처가 불분명한 문서는 열람하지 않고 보낸 사람의 도메인을 잘 확인해 신뢰할 수 있는 사람인지 한번 더 확인하는 게 중요하다"고 했다.
아울러 보고서는 "계정이 탈취된 지인을 통해 스피어피싱 메일이 발송될 수 있으니 감염되지 않도록 한번 더 확인해야 한다"며 "의심이 가지만 읽어봐야 한다면 가상환경에서 열람하거나 보안 전문가를 통해 확인한 후 열람해야 한다"고 당부했다.
이어 "열람한 문서에서 매크로를 실행해야 하거나 보안 경고창이 뜬다면 일단 의심하고 열람을 중지해야 한다"며 "백신은 최신 상태로 유지하고 정기적으로 검사를 수행하며 운영체제는 정기 보안 업데이트를 통해 취약점이 발생하지 않도록 미연에 방지해야 한다"고 했다.
KISA는 지속적으로 취약점 분석을 강화해 침해 사고에 악용될 수 있는 고위험 취약점을 발굴, 피해 예방을 위한 사전 조치를 강화할 예정이다. KISA는 보안 취약점 신고 포상제를 통해 국민들이 사용 중인 앱, 망 연계 솔루션 등에서 발견된 취약점을 조치해 침해 사고로 연계될 가능성을 차단하고 있다.
최광희 KISA 사이버침해대응본부장은 ""국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다"며 "KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다"고 했다.
황국상 기자 gshwang@mt.co.kr
Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지
- 황혼 로맨스 즐기던 부부, 알고 보니 사돈…"실제로 종종 있어" - 머니투데이
- '유주얼 서스펙트' 케빈 스페이시, 남성 성폭행 의혹 무죄 평결…눈물 - 머니투데이
- 노유민 "카페 할 때 아내가 CCTV 감시…女손님에 웃으면 혼나" - 머니투데이
- 임지연, ♥이도현 언급 "나보다 먼저 '유퀴즈' 나가…연락 기다렸다" - 머니투데이
- 남궁민, 단역 욕받이→19년만에 대상 "열정 계속 이어졌으면" - 머니투데이
- 50대 남녀, 흉기 찔려 숨진 채 발견…휴대폰엔 이별 뒤 다툰 기록 - 머니투데이
- "녹취로 협박" 김준수한테 8억 뜯은 여성BJ…마약 사는데 썼다 - 머니투데이
- "전기차 보조금 없애라" 머스크 속내는…'나만 살고 다 죽자'? - 머니투데이
- 무대 내려오면 세차장 알바…7년차 가수 최대성 "아내에게 죄인" - 머니투데이
- "4만전자 너무 했지, 지금이 줍줍 기회"…삼성전자 8% 불기둥 - 머니투데이