연말을 맞아 ‘13월의 보너스'로 불리는 연말정산 관련 내용으로 위장한 악성 메일이 국내에 대량 유포되는 정황이 포착돼 컴퓨터 사용자의 주의가 요구된다.

13일 이스트시큐리티에 따르면, 12일 오전부터 국내에 유포되기 시작한 이 악성 메일은 ‘2017년과 2018년 연말정산 내용의 차이를 안내한다'는 내용과 함께 첨부한 ‘2018년도 연말정산'이라는 MS 워드 문서 첨부파일을 열어보도록 유도한다.

연말정산 변경사항 안내 내용으로 위장한 악성 메일 내용. / 이스트시큐리티 제공
연말정산 변경사항 안내 내용으로 위장한 악성 메일 내용. / 이스트시큐리티 제공
만약 수신자가 문서 파일을 내려받아 실행하면 콘텐츠 사용 허가를 요청하고, 이를 허가하면 MS 워드의 매크로 기능이 활성화되면서 자동으로 악성코드를 내려받아 실행한다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과, 이 악성코드는 감염 PC 환경을 분석해 러시아어를 쓰는 운영체제 환경에서는 동작하지 않는 것으로 확인됐다. 또 안티VM 기능을 탑재하고 있어 가상머신 환경에서의 분석을 방해한다.

이 악성코드는 최종적으로 스모크 봇이라는 모듈을 실행한다. 스모크 봇은 정보 탈취, 사용자가 입력한 키 정보를 자동 기록하는 키 로깅, 추가 악성코드 다운로드, 가상화폐(암호화폐) 마이닝, 디도스 공격 수행 등의 기능을 갖추고 있다.

문종형 ESRC 센터장은 "연말정산 이슈를 활용한 공격은 과거 비너스락커 랜섬웨어를 유포하고, 갠드크랩 랜섬웨어도 유포했다고 추정되는 동일 조직이 수행한 공격으로 확인됐다"며 "기업에서는 이러한 연말연시 이슈를 활용한 이메일 첨부파일 공격에 대비해 임직원의 보안수칙 준수를 독려하는 노력을 기울여야 한다"고 말했다.