[보안뉴스 호애진] 엑셀(Excel) 문서파일의 취약점을 이용, 국내 특정 사용자를 겨냥한 악성 파일이 최근 이메일로 유포된 사실이 밝혀졌다.

잉카인터넷은 27일 국내 특정 사용자를 겨냥한 악성파일이 최근 이메일로 유포됐으며 해당 이메일은 보낸 사람과 받는 사람의 계정 모두가 국내 사용자이지만 발신자의 계정은 외부에 의해서 불법적으로 도용된 것으로 추정된다고 설명했다.

문제는 이메일에 첨부돼 있는 엑셀 파일이 정상적인 문서 파일의 내용까지 포함하고 있기 때문에 일반 사용자가 악성 여부를 쉽게 판별하기는 사실상 어렵다는 점이다. 

아울러 이러한 타깃 공격형 악성 파일은 매우 교묘하고 점진적으로 지속공격을 시도하기 때문에 보안 취약점에 노출되거나 사회공학적인 수법에 현혹되지 않도록 하는 각별한 주의가 필요하다.

잉카인터넷에 따르면 악성 파일은 국내의 특정 사용자를 타깃으로 지정하고 있으며 정상적인 이메일 내용과 첨부 파일처럼 보이도록 교묘하게 위장하고 있다.

공격자는 취약점이 포함돼 있는 엑셀 문서 파일이 실행될 때 사용자 몰래 또 다른 악성 기능을 가진 파일이 설치되도록 해뒀다. 이는 사용자가 눈치채지 못하도록 정상적인 엑셀 문서 파일 내용 등도 함께 출력하도록 구성돼 있다.

발신자는 인터넷 무료 웹메일을 사용했다. 수신자의 경우 특정 공무원 이메일 주소로 추정되며 메일 내용 등에는 모두 한글로 표기돼 있다.

이메일에 첨부돼 있는 ‘주소록.xls’ 파일은 보안 취약점을 가지고 있는 익스플로잇 형태의 악성파일로 사용자가 취약점이 있는 상태에서 실행할 경우 또 다른 악성파일이 사용자 몰래 추가로 설치된다.

‘주소록.xls’ 파일이 실행되면 정상적인 주소록 내용 등을 보여줘 사용자로 하여금 최대한 신뢰를 하도록 만들지만 보안 취약점에 의해 또 다른 악성파일이 사용자 몰래 감염된다.

보통 이러한 타깃 공격형태는 사용자가 수신할 내용 등에 실제 필요한 내용이나 관련된 용어나 문구 등을 삽입해 수신자로 하여금 좀더 쉽게 현혹되고 관심을 가지도록 하는 사회공학적인 기법이 자주 악용된다.

보안취약점이 존재하는 상태에서 ‘주소록.xls’ 파일이 실행되면 정상적인 또 다른 ‘주소록.xls’ 파일을 설치하고 그외 tasksger.exe, 6to4vcs.dll 이름의 악성파일들이 설치된다. 이처럼 정상적인 파일도 함께 설치하고 실행해 주는 이유는 사용자로 하여금 해당 이메일을 최대한 신뢰할 수 있도록 유도하는 속임수 방식 중 하나다.

문종현 잉카인터넷 팀장은 “이와 같은 악성파일로부터 안전한 PC 사용을 위해서는 마이크로소프트사의 오피스군에서 제공하는 상용 애플리케이션 최신 보안 패치를 적용하는 것이 무엇보다 중요하다”며 “아울러 출처가 불분명한 이메일에 첨부파일이나 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제해야 한다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>