"노션인 줄 알았더니"…설치파일 위장한 악성코드 또 유포

가짜 웹사이트서 다운로드 유도

협업도구 서비스 '노션(Notion)'.

인기 협업도구 서비스 '노션(Notion)'의 윈도우 버전 앱 설치파일로 위장한 악성코드가 재차 유포된 것으로 나타났다.

24일 안랩 시큐리티인텔리전스센터(ASEC)는 해커가 'Notion 4.3.4.exe'라는 이름으로 위장한 파일을 배포했다고 밝혔다. EXE는 윈도우11 등 마이크로소프트 운영체제(OS)에서 실행할 수 있는 파일 규격이다.

위장한 exe 파일은 실제 노션 설치파일뿐만 아니라 통신기능을 제공하는 악성 DLL(라이브러리)을 포함한다. 이 파일을 실행하면 노션 앱과 함께 악성 DLL이 컴퓨터에 설치된다.

악성 DLL은 감염된 컴퓨터가 외부의 C&C(명령제어) 서버로부터 추가 파일을 내려받도록 유도한다. 이 과정으로 설치된 악성코드 파일은 대부분 'decrypted.exe'라는 이름을 갖는다.

악성코드의 유형에 대해 ASEC는 "초기에는 인포스틸러(정보탈취형)인 'LummaC2'가 대부분을 차지했지만, 최근에는 'SectopRAT'이 설치된 사례가 확인됐다"고 밝혔다. SectopRAT은 C&C 서버가 지시한 악성행위와 감염된 PC의 정보를 탈취하는 기능을 동시에 수행한다.

탈취대상은 웹브라우저·VPN(가상사설망)·FTP(파일전송프로토콜)·텔레그램·디스코드·스크린캡처 앱에 저장된 정보다. 가상자산 지갑파일과 비밀번호·쿠키·자동완성 내역도 주된 목표다.

악성코드는 노션을 사칭한 웹사이트 'notlon.be'에서 배포된 것으로 드러났다. ASEC는 "얼핏 보면 주소가 'notion'인 것 같지만 공격자는 알파벳 'I'가 아닌 'L'을 사용했다"며 "피해 이용자들이 정상적인 노션 웹사이트로 인지하도록 해커가 URL(인터넷주소)를 위장했다"고 분석했다. 노션의 공식 웹사이트 주소는 'notion.so'다.


노션 설치파일로 위장한 악성코드 공격은 지난 2월에도 발견됐다. ASEC에 따르면 해커는 'trynotion.org' 주소로 가짜 웹사이트를 개설, 'Notion-x86.msix'로 이름 붙인 파일을 내려받도록 유도했다. MSIX는 윈도우 OS의 앱 설치파일 규격이다.

가짜 설치파일은 허위 전자서명이 등록된 탓에 피해 이용자가 실행하면 '신뢰할 수 있는 앱'이라는 메시지가 표시됐다. 사건 당시 ASEC은 다른 협업도구 '슬랙(Slack)', 압축 앱 '윈라르(WinRAR)', 화면녹화 앱 '반디캠' 등으로 위장한 MSIX 파일도 포착했다.



ASEC는 "파일을 실행할 때는 반드시 공식 웹사이트의 도메인임을 확인해야 하고, 내려받은 파일이 정상 서명을 포함한 경우에도 서명 게시자를 반드시 확인해야 한다"고 당부했다.

노션은 메모·문서·지식·프로젝트 관리와 공개 웹사이트 구축 등을 지원하는 서비스로 지난달 전 세계 이용자 1억명을 넘겼다. 국내에선 2020년 8월 한국어 서비스가 개시된 이래 주요 대기업·스타트업이 업무에 이용 중이다.