국내 유명 포털 아이디 거래 계약서 사칭…악성코드 유포 '주의'


2중 확장명으로 사용자 속여…이스트시큐리티

[아이뉴스24 최은정 기자] 국내 포털 서비스의 아이디 거래 계약서로 위장한 악성코드가 유포되고 있는 것으로 나타났다.

이스트시큐리티는 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격을 발견했다며 사용자 주의가 필요하다고 4일 발표했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번에 탐지된 악성파일 이름은 '2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr'이다.

악성파일 작동 시 보여지는 계약서 화면 [사진=이스트시큐리티]

ESRC 측은 지난해 말에도 유사한 형태의 공격이 다수 보고된 바 있으며, 현재도 지속 발견되고 있다고 설명했다. 당시 '전체회원정보 및 비밀번호포함_xls(4).scr', '관리정산 및 모든자료_xls(3).scr', '거래안내_및_가격표_신청안내_xls3.exe' 등의 악성파일을 포함한 공격이 감행됐다.

해당 공격들은 파일 확장자가 정상 문서 파일로 보이지만, 실제로는 엑셀(.xls), 한글(.hwp) 등 문서 확장자 뒤 실행 파일(.exe), 화면 보호기(.scr)와 같은 확장자가 숨어있다. 이러한 2중 확장자명 위장 수법은 윈도 운영체제(OS)에서 확장자명 숨김 처리가 기본으로 설정돼 있는 점을 악용한 것이다.

만약 사용자가 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우 추가 악성코드 다운로드, PC에 저장된 자료와 개인정보 유출 등 잠재적인 해킹 피해로 이어질 수 있다고 ESRC 측은 경고했다. 이번 악성파일은 이스트시큐리티 백신 알약에서 탐지하고 있다.

또 ESRC에 따르면 이번 공격에 사용된 악성파일의 경우 해외 상용 난독화 제품(Crypto Obfuscator)으로 닷넷 함수를 암호화, 코드 분석 방해와 백신 탐지 우회 등 내부 기능을 쉽게 파악하지 못하도록 제작됐다. 채팅 서비스인 디스코드의 파일 저장소가 또 다른 추가 악성파일 배포 목적의 경유지로 악용됐다고 주장했다.

문종현 이스트시큐리티 ESRC 센터장(이사)은 "고전적인 2중 확장자 방식의 단순 속임수 수법이 여전히 성행하고 있고 실제 감염까지 성공시키는 경우도 있다"며 "파일 확장자명을 확인할 수 있도록 윈도 폴더 옵션을 변경하고, 아이콘과 확장자를 꼼꼼히 살펴보고 접근하는 습관이 필요하다"고 당부했다.

/최은정 기자(ejc@inews24.com)






포토뉴스