앱스토리

한동안 입사지원서로 가장한 해킹 이메일이 기승을 부리는가 싶더니, 이제는 급여명세서로 위장해 해킹이 시도되고 있다. 악성 해킹 프로그램이 첨부된 이메일이 다수의 국내 기업이 급여를 지급하는 20일이나 25일에 맞춰 ‘10월 급여명세서’라는 제목으로 위장해 특정 대상에게 발송된 것이다. 이에 정보보안 업체 이스트시큐리티는 “급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있어 각별한 주의가 필요하다”라고 전했다.

이번 공격은 첨부된 엑셀 파일을 열람하면 정상적인 문서 확인을 위해 엑셀 프로그램 화면 상단에 노출된 보안경고 창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 안내가 노출된다. 그리고 이 버튼을 클릭하면 해커가 사정에 설정해둔 매크로 언어인 VBA(Visual Basic for Appliation)가 실행되고, 악성 DLL 파일이 사용자의 PC에 자동으로 다운로드 된다. 이 파일은 감염된 PC의 컴퓨터 이름과 사용자 이름, 운영체제, 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하고, 해커의 명령에 따라 추가적인 악성 파일을 내려받는다. 쉽게 말해 엑셀 파일을 열람한 개인의 정보는 물론 기업의 중요한 내부 자료까지 유출되는 것이다.

이스트시큐리티는 이번 공격을 공격 기법이나 코드 유사도 등의 여러 측면에서 미루어봤을 때 ‘TA505’ 조직의 소행으로 보인다고 추정했다. TA505는 러시아 지역 기반의 공격 조직인데, 올 상반기에 불특정 한국 기업의 중앙 전산 자원 관리 서버를 대상으로 클롭(Clop) 랜섬웨어를 지속적으로 유포했으며, 지난 7월에는 여름 휴가철을 노리고 특정 국내 항공사의 전자항공권을 위장한 악성 이메일을 유포한 바 있다.

한편 이스트시큐리티 문종현 이사는 “러시아 기반 해커 조직으로 추정되는 TA505는 기업 내부 네트워크를 통해 전파되는 클롭 랜섬웨어를 유포하고, 직장인을 대상으로 휴가철과 급여일에 맞춰 지능적인 해킹 이메일을 배포하는 등 기업을 위협하는 공격을 계속 시도하고 있다”며 “TA505 조직의 공격에 감염되면 기업 종사자 개인의 정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼, 유창한 한글로 된 이메일을 수신하더라도 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다”라고 강조했다.