많은 조직에서 사용하고 있는 클라우드 기반 그룹웨어의 대용량 파일 첨부 기능을 악용하거나, 저작권 위반 안내를 사칭한 가짜 메일로 악성코드를 유포하는 사례가 잇따라 발견되는 가운데 보안기업 안랩은 각별한 주의를 당부했다. 사진은 기사 내용과 무관한 이미지. /사진=이미지투데이 제공
21일 안랩에 따르면 최근 다수의 클라우드 기반 그룹웨어에서 대용량 첨부파일 인터넷주소(URL)를 활용한 악성코드 유포 사례가 확인됐다. 많은 조직이 협업 도구로 클라우드 기반 그룹웨어를 사용하는 가운데 대용량 파일이 첨부될 경우 파일은 클라우드 공간에 업로드되고 수신자에게는 다운로드 URL만 제공되는 방식을 공격자들이 악용한 것이다.
공격자들은 '견적 요청', '프로젝트 순서' 등의 제목으로 메일을 발송하며 특정 그룹웨어가 생성한 대용량 첨부파일 URL을 포함해 사용자의 클릭을 유도했다. 메일 본문에는 "이상이 없으면 서명 후 회신해달라"는 내용이 담겨 업무와 관련된 요청으로 위장했다.
사용자가 URL을 클릭하면, '정보 탈취형 악성코드'(인포스틸러)가 다운로드된다. 이 악성코드는 감염된 PC에서 다양한 정보를 수집해 공격자 서버로 전송한다.
유명 기업을 사칭한 저작권 위반 안내 메일을 통해 악성코드를 유포하는 사례도 발견됐다. 메일 본문에는 "조직의 웹사이트가 저작권을 침해하는 콘텐츠를 포함하고 있다"는 경고와 함께 "저작권 침해 콘텐츠를 확인하십시오"라는 문구에 URL을 삽입해 사용자의 클릭을 유도했다.
사용자가 URL을 클릭하면 실행파일(.exe)과 DLL 파일이 포함된 압축파일이 다운로드된다. 특히 실행파일은 파일명에 'pdf'를 삽입하고 공백을 길게 추가해 사용자가 파일의 실제 확장자인 'exe'를 인식하지 못하게 했다.
이 파일을 실행할 경우 악성 DLL 파일이 자동으로 실행되어 악성코드가 설치된다. 감염된 PC에서는 ▲시스템 및 계정 정보 탈취 ▲키보드 입력값 모니터링 ▲웹캠 접근 등 다양한 악성 행위가 수행될 수 있다.
피해를 예방하기 위해 사용자는 ▲출처가 불분명한 메일 속 URL 및 첨부파일 실행 금지 ▲오피스 소프트웨어(SW), 운영체제(OS), 브라우저 등의 최신 보안 패치 적용 ▲백신 최신 버전 유지 및 실시간 감시 기능 실행 등 기본 보안 수칙을 철저히 지켜야 한다.
조직 차원에서는 ▲PC·OS·SW·웹사이트 등에 대한 정기적인 보안 점검과 패치 ▲보안 솔루션 활용과 내부 임직원 보안교육 ▲최신 보안 위협 정보를 제공하는 위협 인텔리전스 서비스 활용 등을 통해 대응책을 마련해야 한다.
장서준 안랩 분석팀 선임은 "사이버 공격은 꾸준히 있어 왔지만 최근에는 방식이 더욱 교묘하고 정교해지고 있다"고 경고했다. "조직의 계정 정보가 유출될 경우 다른 경로에서 유출된 정보와 결합돼 추가 피해로 이어질 가능성이 크다"며 개인과 조직 모두가 보안에 각별히 주의해야 한다고 덧붙였다.
Copyright ⓒ 머니S 무단 전재 및 재배포 금지
