국내 포털 `아이디 거래 계약서` 사칭 악성코드 주의

입력: 2021-03-04 10:24 윤선영 기자

폰트

기자 구독

악성 파일 작동 시 보여지는 계약서 화면. 이스트시큐리티 제공

이스트시큐리티가 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격을 발견했다고 4일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)가 새롭게 발견한 이번 공격은 악성 파일명이 '2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr'이다.

이번 공격은 정상적인 문서 파일로 보이지만 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤에 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재하는 전형적인 2중 확장자명 위장 수법을 사용하고 있다. 윈도 기본 설정을 사용하는 사용자의 PC에서는 2중 확장자명으로 조작된 첨부 파일의 확장자인 EXE, SCR가 보이지 않고 '2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp' 등으로 보이기 때문에 정상적인 문서 파일로 오인할 가능성이 높다.

만약 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다. ESRC 측은 "이번 공격에 사용된 악성 파일은 해외 상용 난독화 제품인 'Crypto Obfuscator' 도구로 닷넷 함수를 암호화해 코드 분석 방해와 백신 탐지 우회 등 내부 기능을 쉽게 파악하지 못하도록 제작됐다"며 "ESRC에서 악성 파일의 난독화 기능을 해제해 코드 내부를 상세히 분석한 결과 유명 채팅 서비스인 디스코드의 파일 저장소가 또 다른 추가 악성 파일 배포 목적의 경유지로 악용된 것으로 나타났다"고 설명했다.

공격자는 디스코드 CDN 경로에 정상 hwp 문서와 닷넷 오픈 소스 기반 'AsyncRAT' 악성 에이전트 파일을 연결했고 사용자 컴퓨터에 'Microsoft.exe' 파일명으로 실행되도록 만들었다. AsyncRAT 위협에 노출될 경우 공격자는 원격제어 권한 획득을 통해 사용자 PC의 화면 녹화와 키보드 입력 내용 탈취 등 대부분의 기능을 통제할 수 있다.

문종현 이스트시큐리티 ESRC센터장 이사는 "고전적인 2중 확장자 방식의 단순 속임수 수법이 여전히 성행하고 있고 실제 감염까지 성공시키는 경우도 있어 이메일이나 메신저 등으로 전달받은 파일의 확장자는 항상 눈여겨 볼 필요가 있다"며 "파일 확장자명을 확인 할 수 있도록 윈도 폴더 옵션을 변경하고 아이콘과 확장자를 꼼꼼히 살펴보고 접근하는 보안 습관이 중요하다"고 말했다.윤선영기자 sunnyday72@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

국내 포털 `아이디 거래 계약서` 사칭 악성코드 주의

이 시간 핫클릭

핫 이슈!