‘방역 수칙 위반 경찰서 출석요구서’, ‘고소장’, ‘비트코인 거래 정보’와 같은 메일이 왔다면, 불안한 마음에 급히 메일을 열거나 첨부 파일을 클릭해 확인하려 들 것이다. 앞으로는 메일에 첨부된 눈에 익은 파일 형식이라도 함부로 열면 안된다. 더욱이 앞서 언급한 실제하는 금융 기관이나 사법 기관에서 온 메일처럼 보이더라도 진위가 의심되면 안정성을 확인하기 전까지 실행하는 것을 피한다. 

보안 전문 기업 이스트시큐리티(대표 정진일)는 여러 사회적 관심사와 불안심리를 파고든 이와 같은 해킹 메일이 국내에 대량 유포 중이라며, 사용자들의 각별한 주의가 요구된다고 7일 밝혔다. 

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 지난 3월 25일부터 지금까지 ‘코로나 19 방역수칙 위반 피의사건 수사관련 출석통지서’, ‘긴급재난지원금 신청서 양식’ 등 사용자들의 관심과 불안을 야기하는 이름의 악성 워드(DOC) 문서 파일을 첨부한 해킹 메일이 국내에 대량 유포되고 있음을 확인하였다. 

이번 공격은 ESRC가 지난 3월 25일 공개한 ‘한국인터넷정보센터(KRNIC)를 사칭한 공격’의 연장선으로 파악됐으며, 이메일에 첨부된 워드 파일에는 악성 매크로 명령이 공통적으로 사용된 유형으로 분석됐다.

공격자는 수신자로 하여금 [콘텐츠 사용] 버튼을 눌러 악성 매크로의 활성화를 유도한다. 해당 버튼을 누르면 해킹된 사실은 숨긴 채, 실제 문서 화면을 보여 주는 것으로 착각하게 만든다. 다만 일부 공격의 경우 마치 문서 내용이 손상된 것처럼 깨진 문구를 보여 주는 단순 속임수 전략을 구사했다.

만약 악성 매크로가 실행되면, 공격자가 지정한 명령 제어(C2) 서버와 통신이 이뤄져 사용자 몰래 추가 악성 파일을 설치한다. 그리고 사용자 이름, 백신 프로그램 종류, 운영체제 종류, 시스템 버전 정보 등을 은밀히 수집해 유출을 시도한다.

이렇게 유출된 1차 정보는 단계적 후속 공격에 필요한 제반 환경을 제공해 주는 만큼, 이메일을 확인함에 있어 항시 각별한 주의가 필요하다. 워드나 엑셀 문서 등의 [콘텐츠 사용] 버튼은 보안상 허용하지 않는 것이 매우 중요하므로 메일 수신자는 확인 과정 없이 실행시키지 않아야 한다.  

현재 이스트시큐리티의 백신 프로그램 알약에서는 해당 악성 코드들을 ‘Trojan.Downloader.DOC.Gen’ 등으로 탐지 중이며, 추가적인 변종에 대해서도 지속적으로 대응 중이다.

ESRC 관계자는 “최근 해킹 메일의 수법이 갈수록 정교하고 교묘해지고 있다”며, “해킹 메일을 통해 불특정 다수의 PC 정보가 외부로 무단 유출되는 것은 향후 예기치 못한 추가 피해로 이어질 수 있는 전초 단계로 볼 수 있다”고 주의를 당부했다. 

한편 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 위협이 확산되지 않도록 협력하고 있다. PC 사용자 역시 보안 프로그램을 최신으로 업데이트하는 등 해킹 메일 공격에 적극적으로 대비해야 한다.