안랩, 급여 명세서 위장 악성코드 유포 주의

기업 시스템 침투 우려, 관련 보안 강화 및 직원 대상 교육 필요

(지디넷코리아=남혁우 기자)급여명세서로 위장한 악성코드가 메일을 통해 유포되는 정황이 발견돼 사용자의 주의가 요구된다.

최근 안랩시큐리티대응센터(ASEC)는 급여명세서로 위장한 원격 제어 악성코드 렘코스(Remcos) 유포 정황을 발견했다고 밝혔다.

ASEC에 확인한 악성코드는 ‘급여이체확인증 입니다’ 라는 메일 제목으로 위장해 유포됐다. 메일에 첨부된 압축파일에는 PDF 파일 아이콘으로 위장한 악성코드가 포함돼 있었다.

(출처=이미지투데이)

렘코스는 원격 관리도구(RAT) 유형의 악성코드로, 수년 전부터 스팸 메일을 통해 끊임없이 유포되고 있다. 시스템에 침투한 RAT는 백도어와 공격 도구 등을 설치해 주요 데이터를 탈취하거나 인프라를 장악한다.

이 악성코드는 공격자의 명령에 따라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어 등이 가능하다. 시스템에 설치된 웹 브라우저에 저장된 히스토리 및 비밀번호를 추출하는 등 주요 개인정보도 탈취할 수 있다.

특히 기업이나 주요 조직에 침투하기 위한 기반작업에 악용될 수 있어 보안관리자의 대응과 직원 대상 보안 교육이 필수적이라는 지적이다. 탈취한 개인정보를 이용해 개인인증을 우회해 침투하거나, 사용자가 기업망에서 악성코드를 실행시켰을 경우 바로 취약점이 생성될 우려가 있기 때문이다. 

급여 명세서로 위장 렘코스 악성코드 (이미지=안랩시큐리티대응센터)

더불어 RAT는 시스템에 침투 후에도 공격자 서버(C2)에서 명령을 받기 전까지 악의적인 행위를 일으키지 않아 확인이 어렵다.

안랩은 사용자의 키보드 입력 정보를 탈취하는 오프라인 키로거의 경우 C2의 명령 없이도 개인정보 확보를 위해 자동으로 실행되는 만큼 이를 통해 탐지가 가능하다고 밝혔다.

안랩 연구원은 "RAT 악성코드는 공격자의 명령을 통해서 주요한 악성 행위가 수행되는 방식으로 공격자의 명령이 수행되기 전까지 감염을 인지하기가 어려운 특징이 있다"며 "기업 보안 담당자는 MDS와 같은 APT 솔루션 사용 이외에도 엔드포인트에서 발생하는 비정상적인 행위에 대해 EDR과 같은 제품으로 모니터링 하여 기업의 보안 사고에 대비하고 침해시 빠르게 대응할 필요가 있다"고 설명했다.

남혁우 기자(firstblood@zdnet.co.kr)