안랩 "악성 매크로 담긴 문서파일 유포 잇따라…클릭 주의하세요"

by이후섭 기자
2021.09.10 10:01:12

워드·엑셀·파워포인트 등 첨부해 악성 매크로 실행 유도
출처 불분명한 첨부파일 실행 금지…함부로 버튼 누르지 말아야

악성 매크로가 포함된 문서파일(자료=안랩 제공)
[이데일리 이후섭 기자] 안랩(053800)은 최근 악성 매크로를 포함한 문서를 이메일에 첨부해 악성코드를 유포하는 사례가 잇따라 발견됐다며 사용자 주의를 당부했다.

10일 안랩에 따르면 공격자는 다양한 주제의 가짜 이메일에 악성 매크로가 포함된 워드, 엑셀, 파워포인트 등 문서파일을 첨부해 유포했다. 사용자가 문서파일을 열고 매크로 실행을 허용하는 버튼을 누를 경우 악성코드에 감염되는 방식이다.

지난 7월 발견된 무역 배송 관련 표로 위장한 엑셀 파일의 경우 `엑셀 호환 이슈`라는 문구와 함께 `자세한 내용을 보려면 콘텐츠 사용 버튼을 누르세요`라는 내용을 포함해 사용자를 현혹했다.

또 지난 8월에는 인도네시아어로 작성된 이메일에 `첨부된 상품 및 배송비 견적을 확인해달라`는 메시지와 파워포인트 형식의 파일을 첨부한 사례가 발견됐다. 사용자가 첨부된 파워포인트 파일을 다운로드 받아 열면 매크로를 포함할 것인지 묻는 보안 경고창이 나타난다. `매크로 포함` 버튼을 누르면 악성코드에 감염된다.

행사나 법률안내 등으로 위장한 문서 파일에 악성 매크로를 삽입하는 사례도 잇따랐다. 지난 5월 `제헌절 국제학술포럼`이라는 제목으로 악성 매크로가 삽입된 문서파일이 유포됐다. 문서를 열면 마이크로소프트를 사칭해 `온라인 미리보기를 사용할 수 없습니다`라는 한국어 메시지가 노출되며 `콘텐츠 사용` 버튼을 누를 것을 유도한다. 해당 버튼을 누르면 악성코드 감염과 동시에 행사 안내 본문도 노출돼 사용자의 의심을 피하게 제작됐다.



이달에는 `법률 동의서`라는 제목의 악성 문서파일을 메일로 유포한 사례도 발견됐다. 사용자가 첨부된 압축파일의 압축을 해제하고 문서파일을 열면 `구 버전의 마이크로소프트 오피스 워드에서 작성된 문서`라며 `콘텐츠 사용` 버튼 클릭을 유도하는 메시지가 나타난다.

이러한 사례에서 사용자가 메시지에 속아 `콘텐츠 사용` 또는 `매크로 포함` 버튼을 누르면 문서 내 악성 매크로가 실행돼 악성코드에 감염된다. 감염 이후에 사용자는 금융 관련 정보 및 사용자 PC 정보 탈취와 악성코드 추가 감염 등 피해를 당할 수 있다.

이 같은 피해를 예방하기 위해선 △출처가 불분명한 메일의 첨부파일 실행 금지 △발신자가 신뢰할 수 있는 사람이나 조직의 이름이더라도 메일주소 재확인 △출처가 불분명한 문서 파일의 버튼 클릭 자제 △최신 버전 백신 사용 등 보안수칙을 준수해야 한다.

양하영 안랩 분석팀장은 “사용자들이 일상적으로 사용하는 문서파일에 매크로를 삽입해 악성코드를 유포하는 방식은 공격자들의 단골 공격 전략”이라며 “피해를 예방하기 위해선 일상생활에서 기본적인 보안수칙을 지켜야 한다”고 당부했다.