[디지털데일리 이종현기자] 보안기업 안랩은 지난 3월 한달간 ‘울진 산불 피해 기부금 영수증’, ‘코로나 확진자 및 동거인 안내문’, ‘제품 소개 카탈로그’ 등 다양한 내용으로 위장한 악성 문서파일 사례를 잇따라 발견했다고 6일 밝혔다.
3월 4일 발생한 울진-삼척 산불이 13일까지 열흘간 이어진 가운데 이를 이용한 악성 문서파일이 발견됐다. 공격자는 실제 많이 사용되는 기부금 영수증 서식(.doc)에 ‘울진 화재복구’라는 문구와 임의의 기부 금액을 기입해 사용자를 속였다.
해당 파일에는 악성 매크로가 삽입돼 있어 파일 실행시 문서 상단에 ‘콘텐츠 사용’ 버튼이 나타난다. 사용자가 무심코 콘텐츠 사용 버튼을 누르면 악성 매크로가 동작하고, 사용자 몰래 악성 인터넷주소(URL)에 접속해 추가 악성코드를 다운로드하는 등 피해로 이어진다.
또 3월부터 코로나19 확진자가 급격히 증가한 가운데, 확진자 및 동거인 안내문이라는 제목의 악성 윈도 도움말 문서파일(.chm)도 발견됐다. 사용자가 해당 파일을 실행하면 정상적인 확진자 및 동거인 안내문 내용이 나타난다. 이밖에 ‘개발 SW 사용 가이드’, ‘계약서 작성법’, ‘가상자산 상속/증여 평가방법 안내’ 등 다양한 주제를 이용한 악성 윈도 도움말 문서파일(.chm)이 발견됐다.
제품 소개 카탈로그를 위장한 악성 문서파일(.doc)도 발견됐다. 해당 파일을 열면 특정 기업의 제품 소개 카탈로그 내용과 함께 상단에 콘텐츠 사용 버튼이 나타나는데, 콘텐츠 사용 버튼을 누르면 즉시 악성코드에 감염된다.
안랩은 피해를 예방하기 위해서는 ▲출처가 불분명한 문서 파일의 다운로드/실행 및 ‘콘텐츠 사용’ 버튼 클릭 금지 ▲오피스 SW, 운영체제(OS) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 강조했다. 현재 V3 제품군은 위 악성 파일을 모두 진단하고 실행 차단하고 있다.
안랩 분석팀 양하영 팀장은 “공격자는 사용자들이 많은 관심을 보일만한 특정 시기의 소재를 적극 활용해 악성코드를 유포한다”며 “따라서 사용자가 피해를 예방하기 위해서는 출처가 불분명한 문서 파일을 함부로 열지말고, 열었더라도 ‘콘텐츠 사용’ 버튼 클릭을 자제하는 등 기본적인 보안수칙을 지켜야 한다”고 말했다.