침해사고/위협동향

글로벌 협업툴 ‘노션’ 설치파일로 위장한 악성코드 유포 ‘주의’

최민지 기자
노션(Notion) 설치 파일로 위장한 MSIX 악성코드가 실제 노션 홈페이지와 유사하게 구현된 피싱페이지에서 유포 중이다. [ⓒ 안랩 시큐리티대응센터(ASEC)]
노션(Notion) 설치 파일로 위장한 MSIX 악성코드가 실제 노션 홈페이지와 유사하게 구현된 피싱페이지에서 유포 중이다. [ⓒ 안랩 시큐리티대응센터(ASEC)]

[디지털데일리 최민지 기자] 글로벌 협업툴 ‘노션(Notion)’ 설치파일로 위장한 악성코드가 유포 중이다. 이에 따라 이용자 주의가 요구된다.

3일 안랩 시큐리티대응센터(ASEC)에 따르면 악성코드 유포자는 실제 노션 홈페이지와 유사한 화면을 구현했다. 이를 통해 악성코드가 포함된 노션 설치파일 다운로드를 유도하고 있다.

정상적인 웹사이트인 것처럼 사칭한 후, 이용자에게 악성코드를 배포하는 피싱 수법이다.

악성코드 유포지인 가짜 노션 홈페이지에서 파일을 다운로드하면 ‘Notion-x86.msix’ 이름의 파일을 내려받게 된다. 해당 파일은 윈도 앱 인스톨러이며, 유효한 서명까지 갖고 있다.

하지만 설치를 누를 경우, 노션이 설치됨과 동시에 악성코드에 감염되게 된다. 설치 때 프로그램 경로에 두 가지 파일이 생성되는데, 하나는 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상파일이다. 하지만, 나머지 하나는 실질적인 악성코드(refresh.ps1)라는 설명이다.

악성코드는 C2 서버에서 명령어를 다운로드해 실행하는 기능을 한다. 현재는 C2 서버가 정상적으로 응답하지 않지만, 안랩은 최초 분석 당시 ‘루마(Lumma)C2’ 악성코드 유포를 확인했다고 밝혔다.

루마C2는 정보탈취형 악성코드로 브라우저 정보와 암호화폐 정보 및 파일 등을 탈취할 수 있다. 지난해에도 크랙, 시리얼 등으로 위장한 루마C2가 유포됐다고 발표한 바 있다.

안랩은 “파일을 실행할 때는 반드시 공식 홈페이지의 도메인임을 확인해야 하며, 정상 서명을 가진 경우에도 서명 게시자를 반드시 확인해야 한다”고 말했다.

이어 “최근 유포된 노션 위장 악성코드 외에도 슬랙(Slack), 윈라(WinRar), 반디캠(Bandicam) 등 다양한 프로그램을 위장한 악성 MSIX 파일도 확인된다”며 “MSIX 파일은 실행 때 특히 주의해야 한다”고 요청했다.

한편, 노션은 전세계 2000만명 사용자를 보유한 글로벌 협업 소프트웨어다. 노션은 문서와 프로젝트 관리, 데이터베이스, 채팅 등 다양한 업무 도구를 활용할 수 있는 생산성 앱이다.

특히, 코딩 없이 페이지를 구성할 수 있어 스타트업 필수 앱으로 꼽히기도 했다. 이에 국내에서도 높은 인기를 보이며, 2020년 한국에 공식 진출한 바 있다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널