이스크시큐리티, 백신 탐지 피해가는 악성코드 급증

백신 프로그램을 무력화시키고 감염 PC를 원격으로 제어하는 등 사용자 PC에 큰 피해를 입히는 악성코드가 국내 기업과 공공기관을 중심으로 유포가 활발히 이뤄지고 있다는 진단입니다.

이스트시큐리티는 19일 국내 기업과 기관 종사자를 대상으로 악성코드 첨부 이메일이 급속히 유포되고 있다며 사용자의 각별한 주의를 당부했습니다.

출처가 불분명한 이메일의 첨부 링크나 파일은 절대 클릭하지 말아야 한다고 조언했습니다. 이는 사이버공격 피해를 예방하기 위한 가장 기본적인 보안 수칙이라고 강조했습니다.

이스트시큐리티는 발견된 악성코드 이메일의 파일명 ‘인보이스_xxxx’, ‘송장_xxxx", temp_xxxx’ 등의 이름을 가진 마이크로소프트(MS), 오피스 워드(doc), 엑셀(xls) 문서 파일을 첨부하고 있다고 설명했습니다.

메일 수신자가 첨부된 파일을 열람하고 문서를 정상적으로 보려면 MS워드나 엑셀 프로그램 상단에 표시된 보안 경고 창의 ‘콘텐츠 사용’ 버튼을 누르라는 안내문구가 나옵니다.

버튼을 누르면 공격자가 사전에 삽입해 둔 매크로가 실행되고 명령제어(C&C) 서버에 접속하게 됩니다. 이후 추가 악성코드가 MSI(MicroSoft Installer)를 활용해 PC로 수차례 전달된 다음 최종 악성코드를 실행합니다.

이 과정에서 사용자 PC의 프로세스를 확인하며 기존 백신 프로그램이 실행되고 있을 경우 백신 프로그램 프로세스 종료를 시도하기도 합니다.

또한 공격자는 사용자 PC를 원격제어하면서 사용자 정보 수집, 권한 상승 등 다양한 악성 기능을 수행하게 됩니다. 최종 실행 악성코드는 상업용 원격제어 프로그램의 유출된 소스코드를 기반으로 제작됐다고 설명했습니다. 측의 분석이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사(센터장)는 “이번에 발견한 악성코드는 지난주 국내에 대량 유포된 악성 메일과 일치하는 것으로 확인했다”며 “이번 공격은 IBM사의 보안 프로그램으로도 위장하며 유효한 디지털 서명을 도용하는 등 윈도OS 보안 로직과 화이트리스트 기반 보안 솔루션을 효과적으로 우회하면서 더욱 큰 피해가 예상된다”고 말했습니다.