최근 국내 유명 포털사이트의 직원에게 구직(Job Application)내용으로 위장하고, 이력서(Resume) 파일처럼 보이도록 만든 표적 공격형 이메일이 발견됐다. 해당 이메일은 My resume.doc라는 이름의 MS Word 파일이 첨부되어 있고, CVE-2012-0158 보안취약점을 이용해서 사용자 몰래 또 다른 악성파일을 은밀히 설치하도록 만들어져 있다.
 
잉카인터넷 대응팀 관계자는 “이 방식은 전형적인 지능형지속위협(APT)의 1차 단계에 속하는 공격수법이며 수신자가 보안 취약점에 노출될 경우 임의의 공격자는 해당 사용자의 컴퓨터 정보 수집을 통해서 2차적인 기업 내부 기밀 정보 접근 및 수집을 시도하게 된다”고 설명했다.  
 
또 “보통 이러한 방식의 공격수법은 매우 단순하지만 일반인의 경우 자신이 악의적인 공격자의 표적으로 사용되었다는 것을 인지하기 어려운 경우가 많다”며 “문서파일의 취약점을 이용한 공격방식은 매우 고전적이면서 꾸준히 사용되고 있다는 점에서 사용자 스스로 최신 버전의 프로그램을 유지할 수 있도록 하는 노력이 중요하다. 의심스럽거나 신뢰하기 어려운 이메일을 수신할 경우 첨부파일 열람에 각별히 주의해야 한다”고 주의를 당부했다.
 
잉카인터넷 대응팀은 해당 포털사의 보안관계자에게 관련 이슈를 전달했으며 공격 표적이 된 이용자의 보안상태를 점검할 수 있도록 정보를 공유한 상태다.
 
좀더 자세히 살펴보면, 우선 공격자는 이메일 제목과 본문, 첨부파일명 등을 국내 유명 포털사이트 구직신청 내용처럼 보이도록 만들어 놓았다.
 
이메일 내용은 이렇다. <안녕하세요. 먼저 (생략)에 입사 지원하게 되어 영광입니다. 대학 졸업생인 저는 “뜻이 있는 곳에 길이 있다”라는 말을 믿으며, 회사에서 인정받는 사람이 되도록 최선을 다하겠습니다. 또한, 본분에 충실하여 회사에 기여하고 싶습니다.
 
저는 대학생활 동안 다양한 동아리 활동과 사회봉사에 참가하였고, 이러한 경험을 바탕으로 커뮤니케이션뿐만 아니라 조직에도 잘 적응할 수 있다고 생각합니다. 또한, 팀플레이에 능하며 도전을 즐길 줄 압니다.
장점:
a) 영어 회화 및 작문에 자신 있으며, 사업협상에 능함
b) 프로젝트 관리, 문서작성에 경험이 많음
c) 어려운 일이나 혼자서도 업무를 처리하는 능력이 있으며 여러 사람들과의 커뮤니케이션 능력이 탁월함.
사진과 함께 이력서를 동봉하였으며, 귀사에서 찾고 있는 인재상에 부합하길 희망합니다. 입사 기회를 주신다면 모든 일에 최선을 다하겠습니다.
암호: resume
감사합니다.>
 
첨부파일인 "My resume.doc" 파일이 보안취약점이 존재하는 상태에서 실행될 경우 임시폴더(Temp) 경로에 정상적인 "My resume.doc" 파일을 생성하고 실행한다. 그러나 해당 본문에는 다음과 같은 내용을 포함하고 있다.
 
이렇듯 화면에는 MS Word 내용만이 보여지지만, 컴퓨터에는 사용자 몰래 다수의 파일이 생성되고 실행되어 시스템을 감염시키는 과정을 수행한다.
 
악성파일은 이후에 홍콩의 특정 호스트로 원격 접속을 시도하며, 별도로 사용자가 입력하는 키보드 내용 등을 kl.log 파일로 저장한다.
 
이를 통해 실시간으로 사용자가 입력하는 모든 작업내용이 악의적 공격자에 의해서 무단 노출될 수 있고 중요한 개인 정보 등이 사용자 몰래 유출될 위험이 있다.
 
악성파일은 svchost.exe 파일을 통해서 홍콩의 특정 C&C 호스트로 접속하여 공격자의 추가 명령을 대기하며, 이를 통해서 원격 제어 등 다양한 보안위협에 놓일 수 있게 된다.
 
잉카인터넷 대응팀은 “특정 국가기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도”라며 “공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나 금전적 이득 또는 사이버 범죄 등으로 사용되고 있다는 점을 간과해서는 안된다”고 경고했다.
 
더불어 “과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com