[IT조선 노동균
기자] 정상적인 문서 파일로 보이지만, 실상은 악성코드를 설치하는 실행파일 형태의
악성문서가 발견돼 주의가 요구된다.
하우리(대표 김희천)는 최근 지능형지속위협(APT)용 악성문서가 지속적으로 발견되고 있는 가운데, 특정 기업을 겨냥한 악성파일이 발견됐다고 4일 밝혔다.
해당 악성파일은 PDF 파일 아이콘으로 위장하고 있지만 실제 확장자는 EXE로, 윈도 탐색기의 폴더 옵션 설정 중 ‘알려진 파일 형식의 파일 확장명 숨기기’를 비활성해야 실행파일임을 인지할 수 있다.
▲해당 악성문서 실행 시 문서파일을 출력하지만 실제로는 백그라운드에서 악성코드가 실행된다.(사진= 하우리)
여기에 실제로 악성파일 실행 시 정상적인 PDF 파일이 출력되기 때문에 사용자는 감염 사실을 인지하기 어렵다. 그러나 실행과 동시에 백그라운드에서는 악성코드가 실행되며, C&C 서버에 접속해 악성코드 제작사의 명령을 수행한다. 하우리에 따르면 해당 시스템의 시스템 정보와 동작 중인 프로세스 목록을 수집하는 것으로 전해진다.
특히 PDF 내용은 특정 기업의 임원 및 주요 주주 특정증권 등 소유상황 보고서로 위장하고 있어 증권 상황에 관심이 많은 임원 및 일반 주주들에게 메일로 배포됐을 가능성이 높다고 회사측은 분석했다.
김정수 하우리 보안대응센터장은 “이번에 접수된 악성파일의 특징은 APT 공격의 범위가 정치적, 안보적 성향에서 벗어나 기업, 기관, 사회 공공단체들까지 사회 전반으로 확대될 가능성에 심각성을 느껴야 한다”며 “국가적 차원에서 현재 발생하고 있는 보안 위협들에 대한 대응과 대비가 필요하며, 이를 위해 범국민적 보안의식 제고와 점검, 보안 규제강화가 필요한 것으로 보인다”고 말했다.
노동균 기자 yesno@chosunbiz.com