"10월 급여명세서 입니다" 이메일, 눌러보니 악성코드

기업 급여 시기 맞춰 악성 파일 위장 이메일 배포…"발신자 꼭 확인해야"

통합보안기업 이스트시큐리티는 18일 오전부터 급여명세서를 사칭한 악성 이메일이 국내 기업 종사자를 대상으로 대량 유포되고 있다고 주의를 당부했다.

이번 공격은 악성 파일을 첨부한 이메일을 특정 대상에게 발송하는 해킹 이메일 공격 방식을 사용하고 있다. 많은 국내 기업이 급여를 지급하는 시기에 맞춰 '10월 급여명세서' 안내를 위장한 메일과 악성 파일을 배포하는 것으로 확인됐다.

이메일에 첨부된 엑셀 문서를 열면 프로그램 화면 상단에 '콘텐츠 사용' 버튼을 클릭하도록 유도되는 안내가 나온다. 이 버튼을 누르게되면 해커가 사전에 설정해둔 매크로 언어인 VBA(비쥬얼 베이직 포 어플리케이션)가 실행되고 악성 DLL 파일을 사용자 PC에 자동으로 설치한다.

해당 DLL 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송한다. 또 해커 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능도 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이날 확보된 악성 파일을 분석한 결과 공격기법과 코드 유사도 등 여러 측면에서 'TA505' 조직 소행으로 추정된다고 발표했다.

TA505은 러시아 지역 기반의 공격 조직으로 알려져있다. 올해 상반기 불특정 한국 기업의 중앙 전산 자원 관리 서버를 대상으로 한 클롭 랜섬웨어를 지속 유포했다. 지난 7월엔 여름 휴가철을 노려 특정 국내 항공사 전자 항공권(e-티켓)을 위장한 악성 이메일을 유포하기도 했다.

문종현 ESRC 이사는 "TA505 조직의 공격에 감염되면 기업 종사자 개인정보는 물론 중요한 기업 내부 자산 유출도 우려되는 만큼 유창한 한글로 된 이메일을 받더라도 첨부파일을 열람하기 전 발신자를 확인하는 등 악성 이메일 여부를 의심해야 한다"고 당부했다.


현재 이스트시큐리티는 한국인터넷진흥원(KISA)와 공조 체계를 유지, 이번 공격 피해 확산을 방지하기 위한 긴급 대응을 진행하고 있다.