이중 확장자 사용하며 발신지 주소까지 조작…“철저한 대비 필요”
이스트시큐리티는 악성 이메일이 국내 공공기관과 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요하다고 밝혔다. 사진=임준선 기자
이스트시큐리티에 따르면 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 ‘스피어 피싱’ 이메일 공격 방식을 사용하고 있다. 발신지 주소까지 실제 홈택스 도메인처럼 정교하게 조작한 것이 특징이다.
또 이메일에 첨부된 압축 파일은 .pdf.zip과 같이 이중 확장자를 사용하고 있다. 사용자 PC의 탐색기 폴더 옵션 설정이 확장자 숨김 처리가 돼있을 경우 실제 PDF 파일처럼 보여 의심 없이 열어보도록 유도하고 있다. 사용자가 해당 압축파일을 풀고 내부 실행 파일을 실행할 경우 폼북 유형의 악성코드에 감염돼 기업 내부의 다양한 해킹 피해로 이어질 수 있다.
문종현 ESRC(시큐리티대응센터) 이사는 “국세청, 경찰청, 법원 등의 국가기관을 사칭한 악성 이메일이 잊을만하면 등장하고 있지만 대부분은 발신지 이메일 주소만으로도 쉽게 판별할 수 있었다”며 “하지만 이번처럼 이메일 발신지의 도메인을 실제 국가 기관 주소로 조작하는 등 국내 기업과 기관 종사자를 대상으로 하는 APT(지능형지속위협) 공격이 날로 정교해지고 있기 때문에 APT 공격에 대한 철저한 대비가 필요하다”고 말했다.
박형민 기자 godyo@ilyo.co.kr