▲ 국내 기업을 사칭해 업무공유 메일로 위장한 Emotet 악성메일 [사진=이스트시큐리티]
[IT비즈뉴스 김진수 기자] 국가 기관과 호텔, 통신사, 국내 기업의 정보를 무작위로 수집-인용해 한국어로 작성된 메일에 ‘이모텟(Emotet)’ 악성코드가 첨부된 메일이 유포되고 있어 주의가 요구된다.

23일 이스트시큐리티에 따르면 지난해 4분기 꾸준히 유포됐던 Emotet 악성코드가 휴지기를 끝내고 이달 14일부터 본격적으로 유포되고 있다.주로 이메일을 통해 유포되는 Emotet 악성코드는 자가 복제, 사용자정보 탈취와 다운로드와 같은 악성행위를 수행한다.

이번에 발견된 Emotet 악성코드 역시 기존에 알려진 사례와 유사하게 메일 수신자가 첨부된 문서파일을 열어보도록 유도하고 있다. 다양한 국내 기관과 기업 정보를 사칭해 업무공유 및 지원요청, 청구서, 견적서와 같은 한글로 작성된 이메일을 유포하는 형태다.

기업 내에서 업무편의를 위해 동일한 메일을 조직 구성원이 함께 수신할 수 있도록 해주는 ‘그룹메일’을 타깃으로 하고 있는 점이 특징이다.

수신자가 doc 문서 파일을 열어보고 매크로 기능을 활성화하면 악성파일에 포함된 파워셸 코드가 실행되면서 공격자가 세팅한 C&C 서버에 접속, Emotet 악성코드를 다운로드 한다. 사용자PC에서 실행된 Emotet은 자가복제와 자동실행 등록을 하면서 사용자PC의 정보 탈취와 추가적인 악성코드를 다운로드, 백도어 역할을 한다.

ESRC 센터장 문종현 이사는 “기업에서는 Emotet 악성코드 감염이 기업 내부 정보 유출 및 2차 공격으로 이어질 위험성이 높으므로, 출처가 불분명한 메일에 포함된 첨부파일과 링크에 대한 접근은 최대한 삼가해야 한다”고 말했다.

이어 “그룹메일 수신자에 대한 집중 모니터링이 필요하고 검증되지 않은 파일은 실행 전 반드시 신뢰할 수 있는 백신 프로그램으로 악성코드 여부 검사를 수행해야 한다”고 조언했다.

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지