유명 설계 프로그램인 ‘오토캐드(AutoCAD)’ 파일을 사칭한 악성코드를 유포하는 사이버 공격이 나타났다. 피해를 줄이려면 파일을 열어보기 전 확장자명을 제대로 확인해야 한다고 전문가들은 조언했다. 백신 뿐만 아니라 운영체제(OS)와 인터넷 브라우저 등의 프로그램에 최신 보안 패치를 적용하는 것도 방법이다.

안랩은 ‘셀프 할로잉(Self Hollowing)’ 기법을 악용해 설계 도면 파일로 위장한 악성코드를 발견했다고 28일 밝혔다. 셀프 할로잉 기법은 정상 파일 실행을 가장해 가짜 프로세스를 생성한 뒤 악성 행위를 생산하는 방식이다.

알려진 파일 형식의 확장명 숨기기를 해제해야 악성코드가 담긴 파일의 본래 확장자명을 볼 수 있다. 안랩이 해당 설정을 미리 해제할 것을 조언하는 이유다. / 안랩 제공
알려진 파일 형식의 확장명 숨기기를 해제해야 악성코드가 담긴 파일의 본래 확장자명을 볼 수 있다. 안랩이 해당 설정을 미리 해제할 것을 조언하는 이유다. / 안랩 제공
이번 악성코드는 ‘imageXXX(숫자)_M-003 장비일람표.dwg’라는 이름의 실행 파일이다. 공격자는 사용자를 속이고자 파일 이름에 설계 도면 파일 확장자명(.dwg)을 적었다. 실제 파일 형식은 악성코드가 설치되는 실행 파일(.exe)이다.

안랩은 "해당 파일은 유명 설계 프로그램인 ‘오토캐드’ 파일 형식을 사칭했다"며 "공격자는 자신을 숨기면서 사용자 PC 사용이 시작될 때마다 (악성 행위가) 자동 실행하도록 설정해놨다"고 분석했다.

만약 PC 사용자가 해당 파일을 열어봐 악성코드에 감염되면 공격자는 파일에 올려놓은 클라우드 서버에 접속한다. 이후 추가 악성코드를 다운로드해 원격 조종과 개인 정보 탈취 등 다수 악성 행위를 진행한다.

피해를 줄이기 위해서는 ▲파일 확장명 숨기기 설정 해제 ▲출처가 불분명한 메일의 첨부파일·인터넷주소(URL) 실행 금지 ▲파일 실행 전 백신 검사 ▲최신 버전 백신 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다는 게 안랩 설명이다.

양하영 안랩 분석팀장은 "공격자는 사용자 의심을 피하고자 유명 프로그램 파일로 위장해 악성코드를 유포한다"며 "익숙한 파일명이더라도 실행 전 파일 확장자를 꼭 확인해야 한다"고 조언했다. 이어 "출처가 불분명한 파일을 실행을 자제하는 일이 필요하다"고 덧붙였다.

다양한 기기의 운영체제(OS)와 인터넷 브라우저(익스플로러, 크롬, 파이어폭스 등) 프로그램의 최신 보안 패치를 적용하는 것도 보안성을 높인다.