기업 '그룹메일' 노리는 악성코드 '이모텟' 성행 주의보

입력 2020.01.22 17:05 | 수정 2020.01.22 17:07

기업의 그룹메일을 노리는 악성코드가 성행하고 있어 업계 주의가 요구된다.

보안 기업 이스트시큐리티는 Emotet(이모텟) 악성코드가 14일부터 본격적으로 유포되고 있다고 22일 밝혔다. 이모텟은 2019년 4분기 꾸준히 활동했던 악성코드로 잠시 휴식기를 거쳐 이달 다시 모습을 드러냈다.

공공기관과 이동통신사를 사칭한 이모텟 악성 메일. / 이스트시큐리티 제공
해커는 이모텟 악성 문서 파일을 담은 메일로 해킹을 시도했다. 수신자가 첨부된 문서 파일을 열어보도록 공공기관과 이동통신사, 호텔 등의 민간기업을 사칭했다. ▲업무 공유 ▲지원 요청 ▲청구서 ▲견적서 등의 내용을 담은 이메일을 발송해 악성코드를 유포했다.

만약 수신자가 워드(doc) 문서 파일을 열어본 후 매크로 기능을 활성화하면 파일에 있던 파워셀 코드가 실행된다. 즉시 해커가 세팅한 C&C(악성코드 제어용) 서버에 접속돼 이모텟 악성코드를 PC에 내려받게 된다. 사용자 PC에 실행된 이모텟은 자가 복제와 자동 실행으로 ▲정보 탈취 ▲추가 악성코드 다운로드 ▲백도어 역할 등의 악성 행위를 수행한다.

백도어는 서비스 제공자 혹은 관리자가 고의로 남긴 보안 허점이다. 정상적인 인증 과정 없이도 서비스 중심부에 접근하도록 만든 통로다.

특히 이번 공격은 기업의 그룹메일을 노려 업계 주의가 요구된다. 그룹메일은 기업의 업무 편의를 위해 직원들이 함께 메일을 수신하는 통로다. 외부에 메일 주소가 알려진 경우가 많고 조직원 누구나 열어볼 수 있어 일반 메일보다 취약성이 높다.

문종현 이스트시큐리티 이사 겸 ESRC 센터장은 "기업에서 이모텟 악성코드에 감염되면 내부 정보 유출과 2차 공격에 처할 위험성이 높다"며 "출처가 불분명한 메일의 첨부 파일이나 링크에 접근하는 일을 삼가야 한다. 기업 그룹메일 수신자를 대상으로 모니터링도 필수다. 메일이 왔을 때 신뢰할 수 있는 백신 프로그램으로 수신 메일의 악성 검사도 수행해야 한다"고 당부했다.


키워드