[아이뉴스24 최은정 기자] 이스트시큐리티는 국세청 전자세금계산서 발급 안내로 위장한 악성 이메일이 불특정 다수를 대상으로 국내 유포되고 있다고 25일 발표했다.
회사 측에 따르면 이번 공격은 사용자가 관심을 가질 만한 내용의 이메일을 발송해 첨부된 악성 파일을 열어보도록 유도하는 전형적인 '스피어 피싱'이다. 특히 압축파일, 마이크로소프트(MS) 워드 문서 형태의 파일을 악용한 기존 스피어 피싱과는 달리 파워포인트 문서를 악용했다.
또한 메일 발송 주소를 실제 홈택스 도메인(hometaxadmin@hometax.go.kr)처럼 정교하게 조작했다. 만약 메일 수신자가 파워포인트 파일을 정상 세금계산서로 착각해 열게 되면, '보안알림'이 나타난다.
보안알림에는 콘텐츠의 출처를 신뢰할 경우 '매크로 포함' 버튼을 누르도록 안내하는 내용이 담겨 있다. 이 버튼을 클릭할 경우 파워포인트 화면에 아무런 내용이 나타나지 않지만 실제로는 공격자가 사전에 설정해둔 악성 명령을 실행할 준비가 완료된다. 이후 빈 화면을 확인하고 파워포인트 프로그램을 종료하는 시점에 사용자가 알아챌 수 없게 특정 서버로 접속을 시도한다.
이 서버에 접속할 경우 파워셸 명령어가 작동하고 파일리스 기반으로 악성 파일이 사용자 PC의 정상적인 프로세스에 삽입돼, PC 정보를 탈취하는 악성 기능을 수행한다. 현재 이스트시큐리티 백신 알약에서 해당 악성 파일을 차단·치료하고 있다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장(이사)은 "공격자는 기업의 월말 결산 시기에 세금계산서 발행이 많은 점을 노리고 있다"며 "스피어피싱 공격은 갈수록 진화되고 있고 시의성에 맞춘 사회공학적 기법을 사용한다"고 말했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기