[디지털데일리 이종현기자] 최근 지방자치단체가 코로나19 확산 방지를 위해 불법 방문판매 행위 단속 강화를 발표한 가운데 ‘방문판매업위반 방조’ 법원판결을 사칭한 악성코드가 발견됐다.

1일 안랩은 최근 ‘방문판매법위반을 방조했으니 벌금을 내라’는 내용의 법원 판결을 사칭한 악성문서로 유포되는 악성코드를 발견해 사용자 주의가 필요하다고 밝혔다.

이번에 발견된 악성문서는 엑셀(.xls) 파일이다. ‘내용을 보기 위해서는 위 노란색 막대의 ‘편집 사용’ 버튼을 눌러라. 편집을 활성화한 이후에는 ‘콘텐츠 사용’ 버튼을 눌러라’라는 안내가 나온다. 콘텐츠 사용을 클릭할 경우 법원판결 내용을 담은 새로운 엑셀 파일을 내려받는다.

법원판결 내용이 담긴 엑셀 파일에는 피고인의 개인정보와 실존하는 변호사 정보와 함께 ‘방문판매등에관헌법률위반방조’라는 죄명으로 벌금 1500만원을 납부하라는 법원판결 내용이 이미지 형태로 포함돼 있다. 또 매크로 실행을 유도하기 위해 문서 상단에 콘텐츠 사용 버튼을 배치했다.

해당 공격에서 눈에 띄는 점은 악성코드 다운로드와 실행을 2중 구조로 배치한 점이다. 첫 번째 엑셀파일의 매크로를 실행하면 커맨드&컨트롤(C&C) 서버에 접속해 법원판결 엑셀 파일과 정보유출 악성코드를 함께 다운로드받는다. 이후 법원판결 엑섹파일의 매크로를 실행하면 다운로드받았던 악성코드가 실행된다.

실행된 악성코드는 PC 내 ▲다운로드 폴더 파일 목록 ▲문서 폴더 파일 목록 ▲인터넷 프로토콜(IP) 주소 등의 정보를 탈취한다. 추가 악성코드를 내려받아 실행할 수도 있다.

공격자가 악성코드 다운로드와 실행을 따로 한 것은 향후 분석과 추적을 피하기 위함으로 보인다. 파일이 여러 개일수록 행위가 복잡해지면서 공격자를 추적하기 어려워진다는 것이 안랩 측 설명이다.

박종윤 안랩 분석팀 주임 연구원은 “공격자는 최근 이슈를 악용한 문서의 안내문 형태로 매크로 실행을 유도하기 때문에 사용자는 자신도 모르게 피해를 당할 수 있다”며 “출처를 알 수 없는 메일 속 첨부파일 실행은 자제하고 실행하더라도 ‘편집 사용’이나 ‘콘텐츠 사용’ 등의 매크로 실행을 유도할 경우 의심하는 것을 권한다”고 조언했다.

안랩 V3는 해당 악성코드를 진단 및 차단하고 있다.

<이종현 기자>bell@ddaily.co.kr