“외교·안보 설문지 열었더니 정보 빠져나가”…악성파일 주의

뉴시스

보안기업 안랩은 최근 외교∙안보 관련 내용을 위장한 악성 문서파일을 잇따라 발견했다며 이용자들의 주의를 당부했다.

23일 안랩에 따르면 최근 발견된 사례는 특정 해외 매체의 인터뷰 질문지로 위장한 후 악성 매크로 사용을 유도해 정보를 탈취하거나, 메신저 단체 대화방에 외교∙안보와 연관된 제목의 악성 문서를 유포하여 열람을 유도하는 방식 등이다.

안랩이 발견한 문서는 ‘CNA[Q].doc’라는 파일명으로 정부의 외교와 안보 정책 등에 대한 질문이 담겨있었다. 설문지를 받은 이용자가 답변 작성을 위해 타이핑을 시작하면 매크로 사용을 유도하는 메시지와 ‘콘텐츠 사용’ 버튼이 문서 상단에 나타난다. 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 악성 매크로가 실행돼 사용자 컴퓨터(PC)의 최근 폴더 경로 및 폴더 내용, 시스템 정보 등이 공격자의 서버로 유출된다.

이 문서를 열기 위해서는 암호가 필요하다. 메일 본문에 포함된 암호 없이는 파일을 열 수 없도록 설정해 분석을 방해하는 동시에 공격 메일을 받은 당사자만 타겟팅하기 위한 것이라고 안랩은 분석했다.

이 밖에 외교∙안보 분야 전문가들이 참여중인 메신저의 단체 대화방 등에서도 악성 문서가 꾸준히 유포되고 있다. 최근 발견된 악성 문서는 파일명에 북방한계선(NLL), 중국 정치현황 등 국제동향 이슈 관련 키워드를 포함해 관련 전공자 등 수신자의 관심을 끌었다. 외교안보 분야 특정 전문가의 실명도 파일명에 포함해 수신자의 의심을 피한 것으로 알려졌다.

안랩 측은 “사용자가 만약 해당 문서를 실행하면 사용자 몰래 공격자가 악성코드 유포나 정보 탈취 등 공격을 수행하기 위해 사용하는 C2(Command & Control) 서버로 연결된다”며 “이후 해당 서버로부터 정보탈취, 백도어 등 추가 악성코드를 내려받아 사용자가 접속한 기기에 설치하는 것으로 추정된다“고 말했다.

피해를 예방하기 위해서는 △출처가 불분명한 문서 파일의 실행 및 ‘콘텐츠 사용’ 버튼 클릭 금지 △오피스 소프트웨어(SW), 운영프로그램(OS) 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안 수칙을 지켜야 한다고 안랩은 당부했다.

김건우 안랩 시큐리티대응센터(ASEC)장은 “이메일 뿐만 아니라 메신저 단톡방 등 다양한 경로로 악성파일이 유포되고 있다”며 “아무리 관심이 가는 내용의 문서라도 출처가 불분명한 파일은 실행하지 않고 ‘콘텐츠 사용’도 자제하는 등 기본 보안수칙을 준수해야 한다”고 강조했다.

남혜정기자 namduck2@donga.com