하우리(대표 김희천)는 최근 APT 공격용 악성문서가 연이어 발견되고 있으며 이중 특정기업을 겨냥한 악성문서도 확인됐다고 4일 밝혔다.
해당 악성파일은 exe 실행파일(** *** 상황 보고서.pdf.exe) 형태로 돼 있다. 윈도 폴더 옵션 설정 중 ‘알려진 파일 형식의 파일 확장명 숨기기’ 를 비활성화 해야 exe인 파일 확장자가 드러나기 때문에 사용자는 악성코드라고 판단하기 어렵다. 악성파일을 실행하면 정상 PDF 파일이 나타나는 것처럼 보이지만 실제로는 악성코드가 실행되기 때문에 감염 사실을 인지하기는 것도 쉽지 않다.
이번 APT 공격에 이용된 PDF 파일의 내용은 특정 기업의 임원ㆍ주요주주 특정증권 소유상황 보고서다. 해당 기업 내부 문서로 위장하고 증권상황에 관심이 많은 임원이나 일반 주주들에게 메일로 첨부해 배포했을 가능성이 높다.
악성코드에 감염되면 △백도어 악성코드 설치 △C&C 서버 접속 및 악성코드 제작자 명령 수행 △시스템 정보(호스트네임, OS정보 및 버전 정보, IP 정보) 수집 △동작 중인 프로세스 목록 수집 △프로세스 동작 확인 및 종료 등의 현상이 나타난다.
김정수 하우리 보안대응센터장은 “이번에 접수된 악성파일의 특징은 APT 공격의 범위가 정치적, 안보적 성향에서 벗어나 사회 전반의 기업, 기관, 사회 공공단체까지 확대될 가능성을 내포하고 있어 심각하다”면서 “국가 차원에서 현재 발생하고 있는 보안 위협들에 대한 대응과 대비가 필요하며, 범국민적 보안의식 제고와 점검, 보안 규제강화가 필요하다”고 강조했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지