마이크로소프트 원노트(OneNote, 디지털 메모 작성 앱) 파일을 가장해 원격제어 악성코드 에이싱크랫(AsyncRAT)이 유포되고 있어 주의가 요구된다.

17일 이스트시큐리티 시큐리티대응센터에 따르면, 해당 공격은 스팸메일 내 원노트 파일(.one)을 첨부해 공격을 시도했다. ‘.one’ 확장자는 공격자들이 즐겨 사용하지 않는 확장자이기 때문에 사용자들이 큰 의심없이 악성코드 파일이 아닌 정상 파일로 인지하고 실행할 가능성이 크다.

.one 첨부파일 실행 화면(좌)과 그림상자 뒤에 숨어있는 HTA 실행파일(우) / 이스트시큐리티
.one 첨부파일 실행 화면(좌)과 그림상자 뒤에 숨어있는 HTA 실행파일(우) / 이스트시큐리티
확장자 ‘.one’은 원노트 파일이다. 사용자 PC에 원노트가 설치돼 있을 경우 즉각적으로 실행 가능하지만, 그렇지 않은 경우라면 해당 파일을 실행할 수 없다. 사용자가 메일에 함께 첨부된 ‘Invoice-****.one’ 파일을 실행하면 파일 화면을 위장한 화면이 뜨면서 ‘CLICK TO VIEW DOCUMENT(문서를 보려면 클릭하세요)’를 팝업으로 띄워 사용자의 클릭을 유도하게 된다.

팝업처럼 보이는 ‘CLICK TO VIEW DOCUMENT’는 사실 공격자가 그림상자를 이용해 팝업처럼 보이게 제작한 교묘한 속임수다. 해당 그림상자 아래는 HTML 응용프로그램 파일이 숨어 있는데, 사용자가 해당 그림상자를 클릭하면 경고창이 뜨고 이때 ‘확인’ 버튼을 클릭하면 악성 스크립트가 작동하는 방식이다.

악성코드가 실행된 후에는 사용자의 시스템 정보와 함께 백신 목록, OS, 사용자 이름, 설치 프로그램 목록, 실행 환경 등의 정보가 수집돼 전송된다.

이스트시큐리티 ESRC 관계자는 "수상한 이메일 내 첨부파일 열람을 지양해야 한다"며 "알약과 같은 백신을 설치해 악성코드 공격을 대비하기를 권고한다"고 밝혔다.

악성코드인 AsyncRAT 분석 상황과 관련해선 "현재 알약에서는 해당 악성코드에 대해 탐지 중에 있다"고 말했다.

이유정 기자 uzzoni@chosunbiz.com