[김국배기자] 독도 영유권 분쟁과 관련한 문서파일로 위장해 악성코드를 유포하는 파일이 발견돼 사용자들의 주의가 요구된다.
잉카인터넷(대표 주영흠) 대응팀은 감염될 경우 PC의 모든 입력값을 가로채는 키로거 공격을 일으키는 한글 문서 파일을 발견했다고 9일 밝혔다.
이번 악성코드는 최근 국내외적으로 이슈가 되고 있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태이며 기업들을 대상으로 하는 지능형 지속 위협(APT) 공격 과정의 초기단계이다.
해당 악성파일은 독도와 관련된 제목으로 표시된 채 이메일의 첨부파일 형태 등으로 유포될 수 있으며 특정 기업의 특정 사용자를 대상으로 발송돼 점차적으로 주요정보를 탈취하는 형태로 발전할 수 있다.
감염 시에는 사용자에게 감염사실을 숨기기 위해 정상적인 문서파일을 생성한다. 이후 PC의 키 입력이 발생하게 될 경우 'SSK.LOG' 파일을 생성해 모든 키 입력값을 저장하는 키로거 공격을 시작하게 된다.
또한, 재부팅 시 스스로 삭제돼 감염사실을 숨기는 동작도 수행한다. 잉카인터넷은 정보가 유출되는 것으로 추정되는 IP 위치 추적 결과 홍콩에 소재하고 있는 것으로 확인됐다고 밝혔다.
잉카인터넷 측은 "이와 같은 방법은 특정기업을 대상으로 하는 APT 공격의 전형적인 사례"라며 "다수의 기업에서 특정장비 등을 통해 이러한 공격기법을 차단하기 위해 노력하나 기업의 규모 등 실질적인 문제로 인해 이와 같은 보안지침이 모두 통용되고 있다고 보기 힘들다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기