▲ 10월 급여명세서 사칭 악성메일

 

[스페셜경제=윤성균 기자]통합보안기업 이스트시큐리티는 18일 오전부터 급여명세서를 사칭한 악성 이메일이 유포되고 있다며 주의를 요구했다. 

이스트시큐리티에 따르면, 이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 방식이다. 

국내 기업이 급여를 지급하는 20일, 25일에 맞춰 10월 급여명세서 안내를 위장한 메일과 악성 파일을 배포하고 있는 것으로 확인됐다. 

첨부된 엑셀 파일을 열면 정상적인 문서 확인을 위한 엑셀 프로그램 화면이 뜨고 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도하는 안내가 노출된다. 

만약 버튼을 누르면 해커가 사전에 설정해둔 매크로 언어인 VBA가 실행되고, 악성파일을 사용자 PC에 자동으로 내려받는다. 

악성 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에 전송하고, 해커 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능을 수행한다. 

이스트시큐리티 측은 “악성 파일을 신속히 분석한 결과 공격 기법, 코드 유사도 등 여러 측면에서 ‘TA505’ 조직의 소행으로 추정하고 있다”고 말했다. 

TA505는 러시아 지역 기반의 해커 조직으로 알려졌다. 이들은 올해 상반기 불특정 한국 기업의 중앙 전산 자원 관리(AD) 서버를 대상으로 한 클롭(Clop) 랜섬웨어를 지속적으로 유포했다. 

지난 7월에는 특정 국내 항공사 ‘전자 항공권(e-티켓)을 위장해 악성 이메일을 유포했다. 

문종현 이스트시큐리티 이사는 “TA505 조직의 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼 유창한 한글로 된 이메일을 수신하더라도 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”고 말했다.

 

(사진제공=이스트시큐리티)

 

스페셜경제 / 윤성균 기자 friendtolife@speconomy.com 

저작권자 © 스페셜경제 무단전재 및 재배포 금지