우리은행 사칭 '랜섬웨어' 주의보

지난 23일부터 이메일로 국내 유포


[아이뉴스24 김국배 기자] 우리은행을 사칭한 이메일로 랜섬웨어 악성코드가 유포되고 있다.

27일 국내 보안업체 이스트시큐리티에 따르면 지난 23일부터 우리은행을 사칭한 악성 이메일 공격이 발견됐다.

메일 발신자명은 'Woori Financial Departments'를 사용했으며, 메일 제목은 '지불 정지. 우리은행'이었다. 첨부한 압축 파일 역시 '우리_은행'이라는 이름을 썼다.

[자료=이스트시큐리티]

압축 파일을 해제하면 '결제정보_세부정보가 잘못 입력되었습니다'라는 이름으로 마이크로소프트(MS) 워드 문서 파일을 가장한 실행(exe) 파일이 나타난다. 클릭할 경우 '소디노키비(Sodinokibi)' 랜섬웨어에 감염된다.

해당 메일을 '텍스트뷰어' 프로그램으로 열람하면 러시아의 대문호 '톨스토이'에 관한 소개 내용을 확인할 수 있다는 것도 특이점이다.

이스트시큐리티는 이번 공격을 메일 발송 방식 등의 정황으로 볼 때 '리플라이 오퍼레이터'라고 이름붙인 기존 해킹 조직의 소행으로 추정하고 있다.

이스트시큐리티 측은 "해당 조직은 최근 뜸하긴 했지만 지난 6월초까지 다양한 피싱 메일을 활용해 신종 소디노키비 랜섬웨어를 국내에 대량 유포해왔다"며 "기업 담당자는 출처가 불분명한 사용자가 보낸 메일의 첨부파일을 다운로드하는 것을 지양하고, 파일 실행 전 백신 프로그램을 이용해 악성 여부를 확인해주기를 바란다"고 당부했다.

eml 파일 내 포함돼 있는 러시아의 대문호 '톨스토이'에 관한 소개 내용 [자료=이스트시큐리티]

김국배기자 vermeer@inews24.com

관련기사


포토뉴스