국내 보안 기업 이스트시큐리티(대표 정상원)는 국내 유명 포털 서비스의 아이디 거래 계약서로 사칭한 해킹 공격이 수행되고 있다고 4일 밝혔다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 ‘2021-03-03 N사 비실명 ID GOLD님 거래 계약서 완료본.hwp.scr’이란 이름의 악성파일로 유포되고 있다.
이 같은 공격은 파일 확장자가 정상적인 문서 파일로 보이지만, 실제로는 엑셀(.XLS), 한글(.HWP) 등 문서 확장자 뒤 실행 파일(.EXE), 화면보호기(.SCR)와 같은 숨겨진 확장자가 존재한다. 이는 윈도에서 ‘확장자명 숨김 처리’가 기본 설정으로 돼 있는 점을 악용한 것이다.
사용자가 숨겨진 파일 확장자를 인지하지 못하고 정상 문서로 착각해 파일을 열어볼 경우, 추가 악성코드 다운로드, PC 데이터 유출 등의 피해를 입을 수 있다. 이번 공격에서도 공격자가 추가 악성코드 배포를 준비한 정황이 발견됐다.
관련기사
- 北 해커, 악성코드 유포…'북한 동향' 문서로 위장2021.02.24
- 거리두기 속 '설 연휴'…필수 보안 수칙은?2021.02.11
- 이스트시큐리티 '알약', 네이버 SW 다운 기록 1위2021.01.29
- 불법 성매매 사이트서 악성 앱 유포…iOS 버전도 발견2021.01.20
ESRC에 따르면 이번 공격에 사용된 악성 파일은 해외 상용 난독화 제품을 사용해 코드 분석 방해, 백신 탐지 우회 등 내부 기능을 쉽게 파악하지 못하도록 제작됐다. ESRC에서 악성 파일의 난독화 기능을 해제해 코드를 분석한 결과, 유명 채팅 서비스 '디스코드'의 파일 저장소가 또 다른 추가 악성 파일 배포 목적의 경유지로 악용된 것으로 나타났다.
문종현 이스트시큐리티 ESRC센터장 이사는 “파일 확장자명을 확인 할 수 있도록 윈도 폴더 옵션을 변경하고, 아이콘과 확장자를 꼼꼼히 살펴보고 접근하는 보안 습관이 중요하다”며 “이용자들의 단순 호기심 유발과 사회적으로 관심이 높은 키워드를 적절히 구사하는 이른바 사회공학적 해킹 공격은 여전히 유효하며, 누구든 새로 받은 파일에 접근할 때는 항상 의심하고 조심하는 자세가 필요하다”고 덧붙였다.