'원산지 조사 자율 점검표' 사칭 악성 문서 주의보

[아이뉴스24 최은정 기자] 안랩은 최근 '원산지 조사 자율 점검표' 공공 서식을 사칭해 유포되는 악성 문서를 발견했다며 4일 사용자 주의를 당부했다.

먼저 공격자는 '별지 제31호서식'이라는 제목의 악성 한글문서(hwp) 파일을 유포했다. 실제 법령에 있는 '원산지 조사 자율 점검표(수입)' 서식 내용을 담아 사용자 의심을 피하려 했다는 게 회사 측 분석이다.

만약 사용자가 최신 보안패치를 설치하지 않은 한글 프로그램으로 해당 파일을 실행하면 사용자 PC가 악성코드에 감염된다. 화면에는 원산지 조사 자율 점검표(수입) 서식 내용이 나타나지만 실제로는 악성 스크립트가 작동하는 것이다.

감염 이후 악성코드는 명령제어(C&C) 서버로 추정되는 특정 URL에 접속해 추가 악성코드를 다운로드받는다. 추가 악성코드는 사용자 PC에서 정상 프로그램을 사칭해 동작하며 정보유출, 추가 악성코드 다운로드 등 행위를 수행할 수 있다. 현재 안랩 백신(V3)은 해당 악성코드를 진단하고 있다.

김예은 안랩 분석팀 연구원은 "정상 문서파일을 위장한 악성코드 유포 사례는 항시 발견된다"며 "평소 자신이 자주 이용하는 문서 프로그램의 최신 보안 업데이트 현황을 확인하고 주기적으로 업데이트하는 등 기본 보안 수칙을 지켜야 한다"고 강조했다.

최은정 기자의 다른 기사 보기

• 시력 보호 프로그램 사칭 악성파일 유포 '주의'

• 방문판매법 위반 판결 사칭 문서 악성코드 '주의'