[보안 따라잡기]지난주 가장 많이 유포된 악성코드는 무엇

(그래픽=안랩 블로그 캡처)

[이데일리 이후섭 기자] 최근 재택근무 환경을 노린 악성메일 공격이 다시 기승을 부리고 있다. 견적 의뢰 업무를 가장한 악성메일이 유포될 뿐만 아니라 국내 유명 포털사의 고객센터를 사칭하고, 하반기 채용시즌을 노린 공격도 나오고 있다. 해당 메일에 속아 자칫 첨부파일을 실행하기라도 하면 악성코드에 감염돼 사용자 정보가 유출될 수 있다. 최근 가장 많이 유포되고 있는 악성코드는 어떤 것일까.

19일 안랩(053800) 시큐리티대응센터(ASEC)에 따르면 지난주(9월 7~13일) 가장 많이 유포된 악성코드 유형은 정보탈취형(인포스틸러)으로 56.6%를 차지했다. 암호화폐 채굴(Coin Miner) 악성코드와 원격관리 툴(RAT)도 각각 22.5%, 10.4%로 집계됐다. 이어 랜섬웨어(4.0%), 다운로더 악성코드(3.5%), 뱅킹 악성코드(2.9%) 순으로 뒤를 이었다. ASEC 분석팀에서는 자동 분석시스템 `RAPIT`를 활용해 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다.

정보탈취형 중에서도 `에이전트 악성코드(AgentTesla)`가 26%로 1위를 차지했다. 에이전트 악성코드는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 악성코드다. 지난 2월 전 세계적으로 코로나19가 확산되면서 세계보건기구(WHO)를 사칭한 악성메일이 유포됐고, 첨부 파일을 실행할 경우 에이전트 악성코드에 감염되는 사례가 발견됐다.

지난 7월에도 `코로나19로 업무 메일을 확인할 수 없는 사람들에게 지불됐던 자금이 반송됐다`는 내용의 메일에 첨부된 파워포인트를 통해 에이전트 악성코드가 유포됐다. ASEC 분석팀은 “에이전트 악성코드는 `주간 악성코드 통계`의 5위권 안에서 꾸준히 확인될 정도로 국내에서 아주 활발히 유포 중인 악성코드”라고 설명했다.

첨부된 파워포인트를 실행하면 매크로 코드가 실행되는데, 주로 기존에는 파일이 열리면 악성 기능을 수행하는 코드가 동작되던 것과 달리 이번에 발견된 악성코드는 파워포인트 파일을 종료하면 악의적인 코드가 실행되도록 만들어졌다. 파워포인트 본문에는 아무 내용도 작성돼 있지 않아 파일을 열어본 사용자가 아무 내용도 없는 것을 확인하고 파일을 종료하면 악성코드가 동작하기 때문에 감염 사실 자체를 인지하기 어렵다.

에이전트 악성코드는 코로나19 이슈 뿐만 아니라 최근에는 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order) 등으로 위장한 악성메일을 통해서도 유포되고 있다. 첨부파일도 파워포인트 뿐만 아니라 PDF, 엑셀 파일이나 오토캐드(Auto CAD) 도면 파일로 위장한 것들도 다수 존재해 각별한 주의가 요구된다.

보안업계 관계자는 “공격자는 사용자들을 미리 파악한 후 메일 내용을 그럴듯하게 꾸며 타겟팅할 수 있기 때문에 첨부된 파일을 실행하는 것을 주의해야 한다”며 “확인되지 않은 메일은 반드시 주의해야 하며 백신의 주기적인 업데이트가 필요하다”고 당부했다.