'전 직원에 크리스마스 보너스 쏩니다' 메일 열었더니…

[이데일리 김국배 기자] 크리스마스 시즌을 노린 피싱 메일이 무작위로 뿌려지고 있다. 금융 정보를 탈취하는 악성코드를 숨기고 있어 이용자 주의가 필요하다.

24일 국내 보안업체 안랩에 따르면 최근 ‘크리스마스를 맞이해 전 직원에게 보너스가 지급된다’는 내용의 피싱 메일이 유포되고 있다.

안랩 측은 “메일과 첨부 파일이 영문으로 작성되긴 했지만, 국내 사용자가 메일을 수신하는 등 불특정 다수의 일반 사용자를 대상으로 유포됐다”이라며 “메일 본문은 보너스 지급 외에도 ‘계약이 해지됐다’는 해고 내용까지 다양하다”고 설명했다.

크리스마스 메시지를 표시하는 악성 엑셀 파일 (사진=안랩)

다만 계약 해고 내용이 담긴 메일에 보너스 지급 관련 파일이 첨부돼 있는 등 다소 엉성한 부분도 있다. 공격자는 ‘드라이덱스(Dridex)’라는 이름의 악성코드가 포함된 엑셀 파일을 첨부해 메일을 보냈다. 파일을 암호화하고, 문서 비밀번호를 메일 본문에 적었다. 백신 프로그램의 탐지를 우회하려는 목적으로 분석된다.

첨부 파일을 실행하면, 콘텐츠 사용 버튼을 누르라는 메시지와 함께 ‘Merry X-MAS!’ ‘Merry Christmas!’ 같은 크리스마스 문구가 포함된 창이 뜬다. 동시에 악성코드가 동작된다.

주로 워드나 엑셀 등 문서 파일로 유포되는 드라이덱스는 뱅킹 관련 정보를 수집하며, 공격자의 명령을 받아 악성 행위를 수행할 수 있는 악성코드다. 실제로 과거 드라이덱스 악성코드를 통해 랜섬웨어 악성코드를 추가로 내려받아 감염시킨 사례도 존재한다. 드라이덱스는 올 한해 전세계적으로 많이 유포된 악성코드로도 꼽힌다. 해킹 조직 뿐 아니라 다수의 공격자들이 다른 악성코드를 유포하는 도구로 쓰인다.

특정 시기에 사용자의 관심을 끌만한 내용으로 악성 메일을 보내는 건 해커들이 쓰는 가장 흔한 수법 중 하나다. 유출된 개인정보로 수법도 더욱 교묘해졌다. 장서준 안랩 분석팀 주임연구원은 “공격자는 사용자들이 관심을 가질만한 내용으로 이메일과 첨부파일을 구성한다”며 “크리스마스를 앞두고 유포된 이번 피싱 메일이 그 예”라고 했다.

드라이덱스 악성코드를 뿌리는 엑셀 문서는 다양한 형태로 계속 등장하고 있다. 피싱 메일에 피해를 입지 않기 위해선 메일을 보낸 이가 신뢰할 만한 발신인인지 확인하는 것은 물론 메일 내 첨부 파일 실행 자체를 자제하는 게 좋다. 백신 프로그램을 항상 최신 버전으로 업데이트하는 것도 기본이다.

(사진=안랩)