그룹메일 타깃 악성코드 '이모텟' 주의보

이스트시큐리티, 첨부문서 실행 시 자가복제 및 PC정보 유출 피해 우려

국내 기업을 사칭, 업무공유 메일로 위장한 이모텟(Emotet) 유포 메일/사진제공=이스트시큐리티

보안 전문 기업 이스트시큐리티는 지난해 4분기 극성을 부렸던 이모텟(Emotet) 악성코드가 이달 중순부터 다시 유포되고 있다고 22일 밝혔다.

이모텟 악성코드는 주로 이메일을 통해 유포되며 △자가 복제 △사용자 정보 탈취 및 다운로드 등 다양한 악성 행위를 수행한다.

이번에 발견된 이모텟 악성코드 역시 다양한 국내 기관과 기업 정보를 사칭한 이메일에 첨부돼 유포되고 있다. 이메일은 △업무공유 및 지원요청 △청구서 △견적서 등의 형태로 발송된다.

특히 이번 공격은 기업에서 업무 편의를 위해, 동일한 메일을 조직 구성원이 함께 수신하는 '그룹메일'을 타깃으로 해 더욱 주의가 요구된다.

수신자가 워드(doc) 문서 파일을 열면 악성 파일에 포함되어 있던 파워셸 코드가 실행되며 공격자가 세팅한 C&C 서버에 접속해 이모텟 악성코드를 내려받게 된다.

사용자PC에서 실행된 이모텟은 자가복제 및 자동실행 기능을 작동시켜 △사용자 PC 정보 탈취 △추가 악성코드 다운로드 △백도어 역할 등의 악성 행위를 수행하게 된다.

문종현 ESRC 센터장은 "기업에선 이모텟 악성코드 감염이 기업 내부 정보 유출 및 2차 공격으로 이어질 위험성이 높으므로, 출처가 불분명한 메일에 포함된 첨부파일과 링크에 대한 접근은 최대한 삼가해야 한다"고 말했다.


이어 "특히 기업 그룹 메일 수신자에 대한 집중 모니터링이 필요하고, 검증되지 않은 파일은 실행 전 반드시 신뢰할 수 있는 백신 프로그램을 통해 악성 여부 검사를 수행해야 한다"고 당부했다.