"논문심사 의뢰드립니다" 메일 클릭했다간…
등록 2023.03.14 06:00:00수정 2023.03.14 06:35:11
국가 자문 기관 사칭해 주요 기관 특정인 대상으로 악성코드 메일 유포
악성코드 실행됨과 동시에 논문 파일 출력 돼 피해 사실 인지 어려워
국가 자문 기관을 사칭한 악성 메일 *재판매 및 DB 금지
【서울=뉴시스】송혜리 기자 = "안녕하십니까, ㅇㅇ 기관지 ㅇㅇ편집위원회에서 선생님께 논문 심사를 의뢰드립니다, 바쁘시겠지만 심사를 맡아 주시면 정말 감사하겠습니다."
국가 자문 기관을 사칭해 주요 기관의 특정인을 대상으로 악성 코드가 포함된 메일이 유포되고 있어 이용자들의 주의가 당부된다.
15일 보안전문기업 하우리에 따르면, 최근 공신력 있는 국가 자문 기관을 사칭, 국가 주요 연구기관의 특정 연구원에게 논문 심사를 요청하는 것처럼 속여 메일 수신자가 악성코드에 감염되도록 하는 악성메일이 유포되고 있다.
악성메일은 '[OOOO] 논문심사 의뢰 드립니다'라는 제목으로 발송됐다. 국가 기관지에서 수신자에게 논문심사를 의뢰하는 내용을 담고 있다. 수신자가 논문 평가자로 적합하고 도움이 될 것으로 생각돼 의뢰하는 것이라며, 특정일까지 심사를 마감해 회신해 달라고 한다.
이 악성메일에는 '논문.zip' 압축파일이 첨부돼 있으며, 이 압축파일에는 '심사의뢰서'와 '2023-3-2.chm'란 파일이 들어있다.
이 중 윈도 도움말 파일인 '2023-3-2.chm' 파일을 클릭하게 되면 'X클릭' 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성코드인 temp.vbs 파일이 다운로드돼 동작한다.
문제는 '2023-3-2.chm' 파일을 클릭 시 악성스크립트가 실행됨과 동시에 '정책결정자의 리더십이 한미동맹과 미일동맹에 미치는 영향'이라는 정상 논문이 출력되기 때문에 메일 수신자가 악성코드 감염 사실을 인지하기 어렵다는 것이다.
첨부된 악성파일을 열어 악성코드에 감염되더라도 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.
첨부된 2023-3-2.chm 파일 클릭 시 ‘정책결정자의 리더쉽이 한미동맹과 미일동맹에 미치는 영향’ 논문이 노출되면서 악성스크립트 다운로드 실행 *재판매 및 DB 금지
하우리 측은 지능형지속공격(APT) 방법이 다양화·고도화되면서 윈도 도움말(.chm) 파일을 이용한 악성코드도 빈번히 발견되고 있다고 설명했다. 아울러 추후에도 지속적인 chm 파일을 이용한 공격이 지속적으로 발생할 것으로 예상됨으로 주의가 필요하다고 덧붙였다.
김정수 하우리 보안대응센터장은 "국가 주요 기관이나 일상과 업무에서 일반적으로 발생할 수 있는 자연스럽고 일반적인 메일 이용해 APT 공격이 빈번히 이뤄지고 있다"면서 "전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용자 및 관리자의 정기적인 시스템 보안점검과 관리로서 위협요소를 제거하는 것이 중요하다"고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
