![[오늘의 운세] 4월 26일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/26/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
국가 자문 기관을 사칭한 악성 메일. 사진 보안전문기업 하우리
“안녕하십니까, ㅇㅇ 기관지 ㅇㅇ편집위원회에서 선생님께 논문 심사를 의뢰드립니다. 바쁘시겠지만 심사를 맡아 주시면 정말 감사하겠습니다.”
국가 자문 기관을 사칭해 주요 기관의 특정인을 대상으로 악성 코드가 포함된 메일이 유포되고 있어 주의가 당부된다.
14일 보안전문기업 하우리에 따르면 최근 공신력 있는 국가 자문 기관을 사칭해 국가 주요 연구기관의 특정 연구원에게 논문 심사를 요청하는 것처럼 속여 메일 수신자가 악성코드에 감염되도록 하는 악성메일이 발송되고 있다.
악성메일은 ‘[OOOO] 논문심사 의뢰 드립니다’라는 제목으로 발송됐다. 국가 기관지에서 수신자에게 논문심사를 의뢰하는 내용이 담겨있다. 수신자가 논문 평가자로 적합하고 도움이 될 것으로 생각돼 의뢰하는 것이라며, 특정일까지 심사를 마감해 회신해 달라고 한다.
이 악성메일에는 ‘논문.zip’ 압축파일이 첨부돼 있으며, 이 압축파일에는 ‘심사의뢰서’와 ‘2023-3-2.chm’란 파일이 들어있다.
이 중 윈도 도움말 파일인 ‘2023-3-2.chm’ 파일을 클릭하게 되면 'X클릭' 함수를 통해 스크립트가 자동 실행되고, 악성 URL로부터 악성코드인 temp.vbs 파일이 다운로드돼 동작한다. 이어 ‘정책결정자의 리더십이 한미동맹과 미일동맹에 미치는 영향’이라는 정상 논문이 출력된다.
악성 코드가 다운로드돼 동작하고 있지만 PC에 특별한 증상이 노출되지 않기 때문에 감염 사실을 PC 사용자가 인지하기에는 쉽지 않다.
하우리 측은 지능형지속공격(APT) 방법이 다양화·고도화되면서 윈도 도움말(.chm) 파일을 이용한 악성코드도 빈번히 발견되고 있다고 설명했다. 아울러 추후에도 지속적인 chm 파일을 이용한 공격이 지속적으로 발생할 것으로 예상됨으로 주의가 필요하다고 덧붙였다.
김정수 하우리 보안대응센터장은 “국가 주요 기관이나 일상과 업무에서 일반적으로 발생할 수 있는 자연스럽고 일반적인 메일 이용해 APT 공격이 빈번히 이뤄지고 있다”며 “전자메일을 이용한 악성코드 감염이 조직 침투의 주요 공격 루트이므로 사용자 및 관리자의 정기적인 시스템 보안점검과 관리로서 위협요소를 제거하는 것이 중요하다”고 말했다.
