이데일리

보안 따라잡기 +더보기

• 

  급여명세서인줄 알고 잘못 눌렀다간

  이후섭 기자 2020.10.17

  급여명세서로 위장한 악성 메일(자료=안랩 ASEC 블로그 캡처)[이데일리 이후섭 기자] 최근 견적의뢰, 채용 관련 문서로 위장하는 등 기업 담당자를 노린 악성 메일이 기승을 부리는 가운데 급여명세서까지 사칭한 악성코드 공격도 발견돼 각별한 주의가 요구된다.17일 안랩(053800)에 따르면 최근 급여명세서를 위장해 칵봇(QakBot)을 다운로드하는 문서 파일이 국내에 지속적으로 유포되고 있다. 뱅킹형 악성코드로 알려진 QakBot은 지난 2008년부터 존재했던 오래된 악성코드로, 올해부터 유포량이 급증해 해외에서 자주 발견됐으며 지난 8월부터는 국내 사용자를 대상으로 유포되고 있다.지난 8월 국내에서 발견된 문서에는 악성 매크로가 포함됐으며, 매크로 실행시 추가 악성 파일을 다운로드하게 된다. 해당 파일을 실행하면 `보호된 콘텐츠를 보기 위해 아래 동작을 수행하라는 내용`의 문구로 사용자의 호기심을 유발해 `매크로 사용 버튼`을 클릭하게끔 한다. 또 문구에 `휴대폰이나 태블릿에서는 보호된 문서를 볼 수 없기 때문에 데스크탑이나 노트북에서 사용하라`는 내용도 담겨있어 악성코드가 정상적으로 동작할 수 있도록 사용자를 유도하고 있다.최근에 발견된 악성 메일에서는 다운로드 방식이 기존의 비주얼 베이직 스크립트(Visual Basic Script)가 아니라 수식 매크로(Excel 4.0 Macro)를 사용하고 있다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛날 방식이지만, 최근에 다시 유행하면서 다른 악성코드에서도 자주 사용되고 있는 방식이라는 설명이다.메일 본문에는 `급여명세서를 발송해 드리오니 첨부파일을 통해 확인하라`는 내용의 문구로 악성 파일을 내려받도록 유도하고 있다. 특히 건강보험, 국민연금 등에 관한 내용을 언급하고 있고, 명세서가 열리지 않는 경우의 처리 방식도 설명하면서 사용자를 현혹시키고 있다. 해당 메일에 속아 첨부파일을 내려받게 되면 압축파일 내부에 다운로더 기능을 가지고 있는 악성 문서가 존재한다.최근 유포되고 있는 QakBot의 공통적 특징은 정상 파일로 위장하기 위해 정상 파일 정보를 사용하고 있으며, 디지털 서명(인증서)을 사용하고 있다. 그러나 서명 이름은 무작위로 기입돼 있다. QakBot 악성코드에 감염되면 △사용자 계정 및 금융 정보 탈취 △이메일 정보 수집 △업데이트 및 모듈 다운로드 기능 △해킹도구인 미미캣츠(mimikatz) 다운로드 및 실행 △웹 브라우저 인젝션 등의 공격에 노출된다.안랩 측은 “사용자들은 출처가 불분명한 메일 열람시 주의가 필요하며 최대한 첨부 파일을 실행하지 않도록 해야 한다”고 당부했다.

• 

  추석 앞두고 울리는 해킹·스미싱 주의보

  이후섭 기자 2020.09.26

  과학기술정보통신부, 보건복지부, 교육부, 고용노동부, 중소벤처기업부는 4차 추가경정예산 관련 통신비, 고용지원금 지원 등을 사칭한 스미싱이 증가할 것으로 예상된다며 이용자들의 주의를 당부했다.(자료=과학기술정보통신부 제공)[이데일리 이후섭 기자] 추석 연휴를 앞두고 악성 이메일 공격이나 스미싱 문자를 주의해야 한다는 우려의 목소리가 높다. 올해 추석에는 코로나19로 인해 이동제한을 권고하는 상황이라 혼자서 추석을 보내는 `혼추족`들이 많을 것으로 예상되는 만큼 이들을 노린 사이버 공격도 기승을 부릴 전망이다. 출처가 불분명한 이메일이나 파일은 절대 열어보지 말고, 통신비·소상공인 지원 등을 사칭한 문자에 주의해야 한다는 당부다.26일 보안 업계에 따르면 올 추석연휴에는 각종 사이버 범죄 및 디지털 성범죄 등이 급증할 것으로 예상된다. 고향 방문을 자제하면서 긴 연휴를 혼자 지내기에 자연스럽게 PC나 스마트폰 이용량이 늘어날 수 밖에 없고 그만큼 위험에 노출될 가능성도 더 높아질 수 있다.◇“통신비·소상공인 지원 등 문자에 `링크`는 클릭하지 마세요”특히 직접 보지 못하는 대신 문자메시지나 메신저 등으로 안부인사를 전하는 이들이 많을 것으로 예상되는데, 가족 구성원을 사칭하거나 안부 인사로 위장한 메시지로 악성 앱 설치나 금융정보 탈취를 시도하는 공격이 많아질 것으로 우려된다.또 정부가 추석 연휴를 앞두고 통신비, 고용지원금 지원 등을 위한 문자메시지 안내에 나섰는데, 이를 위장한 스미싱 문자도 발견됐다. 스미싱(smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량 전송 후 이용자가 악성 앱을 설치하거나 전화를 하도록 유도해 금융정보·개인정보 등을 탈취하는 수법이다.올 들어 지난 8월까지 스미싱 탐지 건수는 70만783건으로 전년동기대비 378% 급증했고, 코로나19 관련 긴급재난지원금을 사칭한 스미싱은 10만753건에 달했다. 최근에는 `(국세청) 2차 재난지원금 신속지급 즉시확인`이라는 내용에 악성 인터넷주소(URL)를 포함한 스미싱 문자메시지가 발견되기도 했다.이에 정부는 4차 추가경정예산 관련 지원대상이 아닌 이용자가 문자를 받은 경우는 클릭하지 말고 바로 삭제하고, 지원 대상자는 스미싱 문자인지 여부 확인 등 URL 클릭에 세심한 주의가 필요하다고 당부하고 나섰다. 과기정통부가 보내는 통신비(2만원) 지원은 16세~34세 및 65세 이상을 대상으로 하고 있으며, 아동양육한시지원은 미취학(보건복지부) 및 초·중학교 연령 아동(교육부) 670만명을 지원한다. 고용노동부는 고용유지지원금의 경우 지원 사업장 3만여개를 대상으로, 청년특별구직지원금은 저소득 미취업 청년 20만명에게 보낼 예정이다. 중소벤처기업부는 소상공인(240만명)에 새희망자금을, 폐업 소상공인(20만명)에게는 폐업점포 재도전 장려금 문자를 발송하게 된다.라바웨이브는 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱을 발견했다. 해당 앱의 개발업체가 다크웹에 올린 광고글(자료=라바웨이브 제공)◇카메라도 제어하는 몸캠피싱 앱 등장…“잘 모르는 파일 열지 말아야”카메라 제어, 실시간 녹음 기능까지 탑재한 몸캠피싱 앱까지 등장해 경각심을 더욱 높일 필요가 있다. 몸캠피싱은 영상채팅 과정에서 피해자의 알몸이나 신체 일부가 드러난 영상을 확보한 뒤 퍼뜨리겠다고 협박해 금품을 요구하는 범죄를 말한다. 협박범들은 영상채팅 과정에서 APK파일 같은 해킹파일을 보내 피해자가 설치하도록 하는데 ,이를 통해 필요한 연락처를 확보하고 녹화된 영상을 유포하겠다고 협박하며 금전을 요구한다. 디지털성범죄 대응 전문 기업 라바웨이브에 따르면 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱이 발견됐다. 해당 파일은 실행시 권한허용 선택이 아예 없고 출처를 알 수 없는 앱 설치를 비활성화해도 무시하고 설치가 된다. 또 전화번호부, 문자내역, 통화기록, 사진첩 뿐만 아니라 앞뒤 카메라 제어, 실시간 녹음, 강제발신, 발신전환 등 지금까지는 보기 힘들었던 기능마저 탑재했다. 해당 개발업체는 몸캠피싱 범죄단체들의 구매를 부추기고 있다.김태원 라바웨이브 전략기획팀장은 “몸캠피싱 피해를 당했다면 바로 경찰에 신고하고 전문 보안업체를 찾아 영상이 유포되거나 금품을 빼앗기는 피해를 막아야 한다”며 “잘 모르는 상대가 보낸 파일은 악성코드가 깔려 있을 가능성이 높기 때문에 절대로 열어보거나 깔면 안된다”고 강조했다.

• 

  지난주 가장 많이 유포된 악성코드는 무엇

  이후섭 기자 2020.09.19

  (그래픽=안랩 블로그 캡처)[이데일리 이후섭 기자] 최근 재택근무 환경을 노린 악성메일 공격이 다시 기승을 부리고 있다. 견적 의뢰 업무를 가장한 악성메일이 유포될 뿐만 아니라 국내 유명 포털사의 고객센터를 사칭하고, 하반기 채용시즌을 노린 공격도 나오고 있다. 해당 메일에 속아 자칫 첨부파일을 실행하기라도 하면 악성코드에 감염돼 사용자 정보가 유출될 수 있다. 최근 가장 많이 유포되고 있는 악성코드는 어떤 것일까.19일 안랩(053800) 시큐리티대응센터(ASEC)에 따르면 지난주(9월 7~13일) 가장 많이 유포된 악성코드 유형은 정보탈취형(인포스틸러)으로 56.6%를 차지했다. 암호화폐 채굴(Coin Miner) 악성코드와 원격관리 툴(RAT)도 각각 22.5%, 10.4%로 집계됐다. 이어 랜섬웨어(4.0%), 다운로더 악성코드(3.5%), 뱅킹 악성코드(2.9%) 순으로 뒤를 이었다. ASEC 분석팀에서는 자동 분석시스템 `RAPIT`를 활용해 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다.정보탈취형 중에서도 `에이전트 악성코드(AgentTesla)`가 26%로 1위를 차지했다. 에이전트 악성코드는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 악성코드다. 지난 2월 전 세계적으로 코로나19가 확산되면서 세계보건기구(WHO)를 사칭한 악성메일이 유포됐고, 첨부 파일을 실행할 경우 에이전트 악성코드에 감염되는 사례가 발견됐다.지난 7월에도 `코로나19로 업무 메일을 확인할 수 없는 사람들에게 지불됐던 자금이 반송됐다`는 내용의 메일에 첨부된 파워포인트를 통해 에이전트 악성코드가 유포됐다. ASEC 분석팀은 “에이전트 악성코드는 `주간 악성코드 통계`의 5위권 안에서 꾸준히 확인될 정도로 국내에서 아주 활발히 유포 중인 악성코드”라고 설명했다.첨부된 파워포인트를 실행하면 매크로 코드가 실행되는데, 주로 기존에는 파일이 열리면 악성 기능을 수행하는 코드가 동작되던 것과 달리 이번에 발견된 악성코드는 파워포인트 파일을 종료하면 악의적인 코드가 실행되도록 만들어졌다. 파워포인트 본문에는 아무 내용도 작성돼 있지 않아 파일을 열어본 사용자가 아무 내용도 없는 것을 확인하고 파일을 종료하면 악성코드가 동작하기 때문에 감염 사실 자체를 인지하기 어렵다.에이전트 악성코드는 코로나19 이슈 뿐만 아니라 최근에는 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order) 등으로 위장한 악성메일을 통해서도 유포되고 있다. 첨부파일도 파워포인트 뿐만 아니라 PDF, 엑셀 파일이나 오토캐드(Auto CAD) 도면 파일로 위장한 것들도 다수 존재해 각별한 주의가 요구된다.보안업계 관계자는 “공격자는 사용자들을 미리 파악한 후 메일 내용을 그럴듯하게 꾸며 타겟팅할 수 있기 때문에 첨부된 파일을 실행하는 것을 주의해야 한다”며 “확인되지 않은 메일은 반드시 주의해야 하며 백신의 주기적인 업데이트가 필요하다”고 당부했다.