국내 기업 겨냥 '스캔파일' 메일…러시아 해커 소행?

[아이뉴스24 김국배 기자] 국내 기업을 노린 악성 메일이 다량 유포되고 있다. 일각에서는 러시아 해킹 조직이 배후로 지목되는 가운데 기업들의 주의가 요구된다.

10일 안랩, 이스트시큐리티 등 국내 보안업체들에 따르면 전날인 9일 새벽부터 국내 기업을 대상으로 악성 메일이 집중 유포됐다.

해외에서는 이미 하루 전인 8일부터 유포되기 시작한 것으로 파악된다.

해당 메일은 '스캔파일'이라는 제목으로 보내졌으며 발송자는 '최성은'이다. '스캔_(임의숫자).doc'라는 이름의 마이크로소프트 워드 문서 파일을 첨부하고 있다.

안랩 관계자는 "발송자와 메일 제목, 내용은 달라질 가능성이 높다"고 설명했다.

메일 수신자가 첨부 파일을 클릭해 실행할 경우 '물품인수증' 관련 내용의 문서가 일부 나타난다. 해당 문서를 제대로 보려면 워드 매크로 기능을 활성화할 것을 유도한다. 매크로 기능이 활성화되면 원격제어가 가능한 백도어 악성코드가 몰래 설치된다.

문종현 이스트시큐리티 이사는 "해당 악성코드는 윈도 부팅 시마다 자동으로 실행되는 기능을 갖추고 있다"며 "공격자가 감염된 PC를 원격으로 조작해 기업 내부 시스템을 노린 랜섬웨어 등 추가적인 공격을 수행할 가능성이 매우 높다"고 경고했다.

특히 이번 공격의 배후가 국내 제조·물류 기업들을 타깃으로 '클롭' 랜섬웨어를 뿌려온 조직과 동일하다는 추정도 나온다. 공격 기법 등이 동일하다는 점에서다.

'TA505'로 불리는 이 해킹 조직은 국내 기업을 겨냥해 한국어로 된 메일로 악성 워드·엑셀 파일을 유포하고, 매크로가 동작하면 암호화된 악성코드를 추가로 설치한 뒤 기업 내부시스템까지 침투해 클롭 등의 랜섬웨어를 심는 공격수법을 보여왔다.

문 이사는 "클롭 랜섬웨어는 러시아어 버전의 윈도 운영체제일 경우 감염되지 않도록 설정돼 있어 러시아가 배후로 의심받고 있다"고 말했다.