첨부파일 내려받아 압축 풀고 실행 시 악성코드 감염
키로깅과 백도어 기능 수행…한글 이메일도 등장 전망
신종 코로나바이러스 관련 정보를 담은 것으로 위장해 악성코드를 퍼뜨리는 메일이 발견됐다. 이 메일은 국내 기업을 상대로 정보를 빼가기 위해 유포되고 있는 것으로 파악됐다.
9일 보안 전문 기업 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 지난 6일 ‘Coronavirus Update : China Operations’라는 제목의 메일이 탐지됐다.
이 메일은 현재 신종 코로나바이러스와 관련된 중국 내 상황과 기업 대응 등에 대해 간략히 언급하면서 ‘생산 일정이 재개되는 일정은 첨부파일을 확인하라’는 내용을 담고 있다.
대만에 실제로 존재하는 한 제조업체의 이름을 발신자로 쓰고, 주소와 전화번호, 홈페이지까지 담겼다.
하지만 이 메일은 첨부파일에 악성코드를 품은 피싱 메일(phishing mail)이다. 피싱은 개인정보(private data)와 낚시(fishing)의 영어 단어를 합친 신조어다. 이는 일반 기업 같은 신뢰할 만한 출처로 위장해 불특정다수에게 이메일을 보낸 뒤 정보를 빼낸다.
해당 메일에서 ‘Factory Contacts and Office Resumption.zip’이라는 이름의 첨부파일을 내려 받고 압축을 풀어 생성되는 파일을 실행하면 사용자 개인용 컴퓨터(PC)에 악성코드가 감염된다.
이 악성코드는 외부 서버와 통신하면서 감염된 PC의 키보드 입력을 가로채는 ‘키로깅(Keylogging)’, 컴퓨터를 마음대로 움직이는 원격제어 등 백도어(뒷문) 기능을 수행하는 것으로 파악됐다.
이 메일은 인터넷에 공개된 국내 기업 메일 주소 등을 대상으로 광범위하게 유포되고 있는 것으로 알려졌다.
앞서 유사 사례가 보고된 미국과 영국, 일본 등 해외에 이어 국내에서도 신종 코로나바이러스 관련 피싱 공격 시도가 발견된 것이다.
아직 한글로 된 신종 코로나바이러스 관련 피싱 메일은 발견되지 않았다. 하지만 보안업계는 조만간 한글로 된 피싱 메일이 나타날 가능성이 큰 것으로 보고 있다.
보안 전문가들은 의심스러운 메일은 열어보지 말고, 백신을 최신 버전으로 업데이트할 것을 당부했다.
문종현 이스트시큐리티 ESRC센터장은 “사회적 관심사로 사용자를 현혹해 첨부파일을 열어보게 만드는 형태”라며 “해외 기업과 거래하는 국내 기업을 신종 코로나바이러스 관련 메일을 주의할 필요가 있다”고 주장했다.
