한국·일본 금융기관 겨냥한 표적공격 등장

아주경제 장윤정 기자=한국과 일본의 특정 금융 기관들을 겨냥한 지능형 표적공격(APT)이 다수 발견됐다. 한국과 일본 금융기관들을 대상으로 설계된 악성코드인만큼 국내 금융기관 관리자들의 각별한 주의가 요구된다.

8일 잉카인터넷 대응팀은 한국과 일본의 특정 금융 기관들을 겨냥한 지능형 표적공격 정황을 다수 포착, 자사 백신 제품인 '엔프로텍트(nProtect) AVS 3.0' 제품에 긴급 업데이트를 진행했다고 밝혔다.

공격 파일은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에 삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 내려 받아 몰래 실행하는 일종의 원격 실행 취약점이 작동된다.

또한 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행해 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹한다. 현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축해 이메일에 첨부하는 유포기법을 이용하고 있다.

실제 문서파일의 취약점을 공격하진 않았기 때문에, 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 이용될 수 있어 각별한 주의가 요구된다.

문종현 잉카인터넷 대응팀장은 “바로가기 취약점을 이용해서 마치 문서파일처럼 위장한 악성파일이 증가하고 있어 금융 기관 관리자들의 각별한 주의가 요망된다"며 "운영체제와 각종 응용 프로그램의 보언 업데이트는 항상 최신 버전으로 업데이트하고, 출처가 불분명한 이메일의 첨부파일은 가급적 열람하지 않는 등의 기본적인 보안수칙의 준수가 필요하다"고 당부했다.