안랩 (63,500원 ▲300 +0.47%)은 최근 특정 해외 매체의 외교·안보 관련 인터뷰 질문지로 위장한 악성 매크로 유도 문서 파일을 잇따라 발견했다며 23일 이같이 밝혔다.
안랩에 따르면 이 문서는 'CNA[Q].doc'라는 파일 명으로 정부의 외교·안보 정책 등에 대한 질문을 담고 있다. 사용자가 답변 작성을 위해 타이핑을 시작하면 매크로 사용을 유도하는 메시지와 함께 '콘텐츠 사용'이라는 버튼이 문서 상단에 나타난다.
이 문서를 열기 위해서는 암호가 필요하다. 공격자는 메일 본문에 암호를 적은 뒤 함께 이 악성 문서파일을 유포한 것으로 추정됐다. 메일 본문에 포함된 암호 없이는 파일을 열 수 없도록 설정, 분석을 방해하는 동시에 공격 메일을 받은 당사자만 타깃으로 해서 공격하기 위한 것으로 추정됐다.
또 "사용자가 해당 문서를 실행하면 사용자 몰래 공격자가 악성코드 유포나 정보 탈취 등 공격을 수행하기 위해 사용하는 C2(Command & Control) 서버로 연결된다"며 "이후 이 서버로부터 정보탈취, 백도어 등 추가 악성코드를 내려받아 사용자가 접속한 기기에 설치할 것으로 추정된다"고 했다.
이어 피해 예방을 위해 사용자는 △출처가 불분명한 문서 파일의 실행 및 '콘텐츠 사용' 버튼 클릭 금지 △오피스 SW(소프트웨어), OS(운영체제) 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안 수칙을 지켜야 한다고 당부했다.
이 시각 인기 뉴스
김건우 안랩 시큐리티대응센터(ASEC)장은 "최근 이메일 뿐만 아니라 메신저 단톡방 등 다양한 경로로 악성파일이 유포되고 있다"며 "특히 공격자들은 사용자들이 관심있을 만한 소재를 활용하기 때문에 사용자들은 아무리 관심이 가는 내용의 문서라도 출처가 불분명한 파일은 실행하지 않고 '콘텐츠 사용'도 자제하는 등 기본 보안수칙을 준수해야 한다"고 말했다.