APT 공격용 악성문서가 지속적으로 발견되고 있는 가운데 최근 특정기업을 겨냥한 악성문서가 발견돼 각별한 주의가 필요하다.
 
하우리 관계자는 “해당 악성파일은 exe 실행파일(** *** 상황 보고서.pdf.exe) 형태로 되어 있지만, 윈도우 폴더 옵션 설정 중 “알려진 파일 형식의 파일 확장명 숨기기” 를 비활성화 해야지만 exe 인 파일 확장자가 보이므로 해당 파일을 받은 PC 사용자는 육안으로는 악성코드라고 판단하기 어렵다”며 “또한 악성파일 실행시 정상 PDF 파일이 보여짐과 동시에 백그라운드에서 악성코드가 실행되기 때문에 PC 사용자가 감염사실을 인지하기란 쉽지 않다”고 경고했다.

 
또한 “이번 APT 공격에 이용된 PDF의 내용이 특정 기업의 임원ㆍ주요주주 특정증권 등 소유상황 보고서 이므로, 해당 기업에 맞는 문서로 위장하고 증권상황에 관심이 많은 임원 및 일반 주주들에게 메일에 첨부되어 배포되었을 가능성이 높다”고 분석했다.
 
해당 악성코드에 감염되었을 경우 백도어 악성코드 설치, C&C 서버에 접속하여 악성코드 제작자의 명령 수행, 시스템 정보(hostname, OS정보 및 버전 정보, IP 정보) 수집, 동작중인 프로세스 목록 수집, 프로세스 동작 확인 및 종료 등의 증상이 발생한다.
 
하우리 김정수 보안대응센터장은 “이번에 접수된 악성파일의 특징은 APT 공격의 범위가 정치적, 안보적 성향에서 벗어나 사회전반의 기업들, 기관들, 사회 공공단체들까지 확대될 가능성에 심각성을 느껴야 한다”며 “국가적 차원에서 현재 발생하고 있는 보안 위협들에 대한 대응과 대비가 필요하며, 이를 위해서는 범국민적 보안의식 제고와 점검, 보안 규제강화가 필요할 것”이라고 강조했다.
 
<하우리 분석정보>
-www.hauri.co.kr/information/issue_view.html?intSeq=228&page=1
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com