국내 특정 기관을 노린 사이버 공격이 진행돼 주의가 요구된다.
보안 업체인 잉카인터넷(대표 주영흠)은 한국과 일본 기관을 대상으로 악성코드를 유포하는 지능형 표적 공격을 다수 포착했다고 8일 밝혔다.
이번 공격은 이메일에 첨부된 파일을 열면 감염되는 기법을 이용하고 있다. 첨부 파일은 바로가기(.lnk) 파일 형식을 띠고, 내부에 삽입된 스크립트 코드명령에 의해 특정 사이트로 연결된다. 이 과정에서 이용자 몰래 악성 실행파일(exe)이 설치되는 것이다.
첨부파일은 정상 문서파일처럼 보이도록 아이콘을 워드패드(rtf)로 위장했다. 또 이를 열면 실제 문서 화면이 나타나 현혹되기 쉽다. 하지만 그 순간 PC는 공격자에게 장악된다.
잉카인터넷은 이번 공격이 실제 문서파일의 취약점을 이용하는 것은 아니어서 기존 문서 기반 악성파일 탐지정책을 우회하거나 회피할 수 있다고 설명했다.
이 같은 수법은 지난 7월 중순부터 나타나기 시작했으며 현재까지 다양한 변종이 발견되고 있다고 강조했다. 구체적 기관은 공개하지 않았지만 표적 공격은 정치적, 전략적 이득을 취하기 위해 중요 정보를 탈취하는 데 이용된다.
문종현 잉카인터넷 대응팀장은 “바로가기 취약점을 이용, 마치 문서파일처럼 위장한 악성파일이 유포돼 기업 관리자들의 주의가 필요하고 변종 악성파일이 다수 전파가 되고 있어 운용체계(OS)와 각종 응용 프로그램 보안 업데이트, 출처가 불분명한 이메일의 첨부파일은 열람하지 않는 기본적인 보안수칙 준수가 필요하다”고 당부했다.
잉카인터넷은 자사 백신 제품에 긴급 업데이트를 실시했다.
윤건일기자 benyun@etnews.com
