"어, 아는 사람이네" 의심없이 메일 클릭…악성코드 이렇게 감염된다 > IT/과학기사 | it/science

임종철 디자이너 /사진=임종철 디자이너

지난해 10월의 이태원 참사 관련 정부 보고서를 사칭한 문서에 악성코드를 심어 정보탈취를 시도하는 등 최근 지속적으로 발생한 사이버공격 행위에 대한 분석 보고서가 나왔다.

KISA한국인터넷진흥원는 과학기술정보통신부와 함께 최근 지속적으로 발생한 해킹 메일 공격에 대한 보안 취약점 상세 분석 보고서를 27일 발표하며 이같이 밝혔다.

KISA에서 발간한 정부 보고서 위장 MS마이크로소프트 워드 제로데이 취약점 상세분석 보고서가 구글 TAG위협분석그룹을 인용한 데 따르면 지난해 이태원 참사 정부 보고서를 사칭한 피싱메일 공격은 북한 해킹그룹인 APT 37의 공격으로 추정된다.

KISA는 해커의 공격이 IE인터넷 익스플로러의 취약점을 악용해 총 3단계의 과정을 거쳐 수행됐음을 밝혀냈다. 우선 공격자는 공격 대상 사용자를 속이기 위해 악성코드가 삽입된 MS워드 파일을 피싱메일에 첨부해서 보낸다.

사용자가 메일에 첨부된 MS워드 문서를 열람하면 사용자PC는 공격자 서버로 접속돼 악성 RTF서식파일를 다운로드한다1단계. 악성 RTF 파일에 삽입돼 있는 URL인터넷주소를 통해 공격자 서버에서 악성 HTML 파일이 추가로 사용자 PC에 다운로드된다2단계.

MS워드에서 HTML 파일을 처리하기 위해 익스플로러의 스크립트 엔진JScript9을 사용하는데 이 엔진의 취약점으로 인해 악성코드가 실행된다3단계.

해커는 MS워드 등 다른 기존 프로그램에서 HTML 파일을 실행할 때 활용되는 익스플로러 스크립트 엔진 취약점을 악용해 공격했다. MS는 해당 취약점을 확인해 2022년 11월에 보안 패치를 발표했지만 MS오피스 등 일부 소프트웨어에서는 HTML 파일을 실행할 때 여전히 익스플로러의 HTML 해석기능을 사용하는 경우가 있어 언제든 비슷한 형식의 취약점을 악용한 공격이 발생할 수 있는 것으로 지적됐다.

보고서는 "스피어피싱 메일은 가장 보편적으로 APT지능형 지속 위협 공격에 활용되는 방법으로 사용자를 가장 쉽게 속일 수 있다"며 "익스플로러 지원이 종료됐지만 워드, 파워포인트 등이 아직도 옛 익스플로러 모듈을 일부 가져다 쓰고 있기 때문에 여전히 취약점이 발견돼 악용될 수 있다"고 했다.

또 "APT 공격은 이미 공개된 취약점을 사용하기도 하지만 패치가 발표되지 않은 제로데이 취약점을 사용할 수 있어 정기적 보안 업데이트를 수행하더라도 공격에 노출될 수 있다"며 "출처가 불분명한 문서는 열람하지 않고 보낸 사람의 도메인을 잘 확인해 신뢰할 수 있는 사람인지 한번 더 확인하는 게 중요하다"고 했다.

아울러 보고서는 "계정이 탈취된 지인을 통해 스피어피싱 메일이 발송될 수 있으니 감염되지 않도록 한번 더 확인해야 한다"며 "의심이 가지만 읽어봐야 한다면 가상환경에서 열람하거나 보안 전문가를 통해 확인한 후 열람해야 한다"고 당부했다.

이어 "열람한 문서에서 매크로를 실행해야 하거나 보안 경고창이 뜬다면 일단 의심하고 열람을 중지해야 한다"며 "백신은 최신 상태로 유지하고 정기적으로 검사를 수행하며 운영체제는 정기 보안 업데이트를 통해 취약점이 발생하지 않도록 미연에 방지해야 한다"고 했다.

KISA는 지속적으로 취약점 분석을 강화해 침해 사고에 악용될 수 있는 고위험 취약점을 발굴, 피해 예방을 위한 사전 조치를 강화할 예정이다. KISA는 보안 취약점 신고 포상제를 통해 국민들이 사용 중인 앱, 망 연계 솔루션 등에서 발견된 취약점을 조치해 침해 사고로 연계될 가능성을 차단하고 있다.

최광희 KISA 사이버침해대응본부장은 ""국가적 재난 상황에서도 사이버 공격은 끊임없이 발생하고 있으며, 해커는 이슈를 악용해 공격하기 때문에 사이버 위협 대응에 긴장의 끈을 놓쳐서는 안된다"며 "KISA는 앞으로도 지속적인 사이버 위협 모니터링을 통해 사이버 공격의 선제적 대응에 힘쓰겠다"고 했다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 amp; mt.co.kr, 무단 전재 및 재배포 금지