업무 메일 회신으로 유포되는 악성코드 사례

오늘은 업무 메일 회신으로 악성코드를 유포하는 사례에 대해서 말씀드리도록 하겠습니다. 이번에 설명드릴 내용은 이전 글이었던 "매크로를 사용한 부고 안내문 사칭 메일 사례"의 후속 글로 생각하시면 될 것 같은데요. 매크로를 이용한 문서형 악성코드를 압축해서 zip 파일로 보낸 케이스로, 이번 에세이에서 문서형 악성코드의 동작 방식을 다시 한 번 간략히 언급하면서, 이번 사례에서는 어떤 방식으로 사용자가 악성코드를 실행시키도록 유도했는지 설명드려보죠.

​

일단 리마인드 차원에서 매크로를 이용한 문서형 악성코드가 어떻게 동작하는지 말씀드리겠습니다. 이 매크로라는 녀석은 자주 사용되고 반복되는 작업을 자동화하기 위한 기능이라고 설명드렸었죠. MS Office의 워드나 엑셀, 심지어 한컴의 한글 문서나 PDF까지 이 기능을 제공하고 있는데요. 워드 문서에서는 매크로가 정의되면 VBA라고 하는 스크립트 언어로 해당 기능을 하는 코드가 작성이 되어 문서에 삽입된다고 말씀드렸습니다. 그런데 문제는 사용자가 이 매크로 코드를 수정할 수 있다는데 있었죠. 해커가 이 기능을 악용해서 악성 행위를 하는 코드를 삽입하여 문서형 악성코드를 만들고.. 메일로 보내 사용자가 여는 순간 악성코드에 감염되버리는 상황이 발생합니다.

​

물론 최근 메일 보안 솔루션에서는 문서형 악성코드를 탐지하는 기능이 포함되어 있기 때문에 어느 정도 차단된다고 볼 수 있지만, 보안 솔루션을 도입할 여력이 안되는 중소기업의 경우는 문제가 되겠죠. 거기다가 이제는 많은 분들이 메일에 실행파일이 있는 경우 클릭하면 안된다는걸 알지만, 워드 문서 같은 경우 자주 사용되기 때문에 의심 없이 열어볼 수 있을 겁니다. 그래서 이전부터 아이콘을 워드나 PDF로 바꿔 문서로 위장한 실행파일형 악성코드가 유행했던거구요. 그런데 사실 매크로가 삽입된 문서를 연다고 바로 감염되는 건 아닙니다. '아니.. 아까는 바로 감염된다더니.. 무슨 소리야'라고 하실텐데.. 일단 설명을 위해서 기사의 본문 내용 먼저 인용하고 가도록 하겠습니다.

​

"만약 사용자가 무심코 해당 회신 메일의 첨부파일을 내려받아 악성 엑셀파일을 실행하면 '내용을 보기 위해 콘텐츠 사용 버튼을 클릭하라'는 메시지가 등장한다. 사용자가 메시지에 속아 화면 상단의 '콘텐츠 사용' 버튼을 클릭할 경우 매크로를 통해 악성코드를 실행한다"

​

위에서 말하는 '콘텐츠 사용' 버튼의 경우 매크로가 포함되어 있는 메일에서 나타납니다. 저희가 외부에서 다운로드 받은 워드 문서의 경우에도 '편집 사용' 버튼을 눌러야지 문서 수정이 가능한 것처럼, 매크로도 '콘텐츠 사용' 버튼을 눌러야지 동작됩니다. 이러한 설정은 MS Office에서 보안을 강화하기 위해 만든 정책인데요. 그런데 의도와 다르게 별 생각없이 누르는 사용자도 많고, 해커가 보안 문서라면서 콘텐츠 사용 버튼을 누르라는 등 교묘하게 매크로가 실행되도록 유도하는 케이스가 많습니다.

​

초기 글이었던 "정상 소프트웨어로 위장한 랜섬웨어 감염 사례"에서 랜섬웨어를 실행시키지만 않으면 감염되지 않는다..라고 설명드렸던 걸 기억하실지 모르겠습니다만, 마찬가지로 문서형 악성코드도 매크로를 실행시키지 않으면 감염이 되진 않습니다. 물론 완전 예전의 Office를 사용하시거나 보안 설정이 되어있지 않다면, 문서를 열자마자 매크로가 실행되겠지만 그런 상황은 여기서 제외하고요. 결국은 매크로가 실행이 되어야지 해커가 만든 로직대로 악성코드를 다운로드 받고 실행시킬텐데.. 애초에 콘텐츠 사용을 허락하지 않으면 감염될 상황이 만들어지지 않겠죠.

 

업무메일 회신으로 유포되는 악성코드 주의보

 

이번 케이스의 경우는 해커가 미리 업무 관련 메일을 수집해서, 해당 메일을 발송한 사용자에게 회신을 하여 업무 요청을 기재하거나 협박을 해서 첨부파일 실행을 유도했다고 하는데요. 사실 저런 업무 메일은 관련된 사용자들만 받아볼 수 있는건데, 그럼 이미 다른 사용자의 업무 계정을 해킹해서 추가적인 공격을 한 것으로 봐야겠죠. 자.. 이번에도 길게 설명드렸지만, 여기서 강조하는건 모르고 문서를 열더라도 '콘텐츠 사용' 버튼은 절대 클릭하지 않는 것입니다. 그럼 오늘은 이만 줄이도록 하죠. 감사합니다.