개인정보 동의서와 이력서처럼 기업이 일상적으로 주고받는 문서가 악성코드 유포 통로로 악용되고 있어 주의가 요구된다.

19일 보안업계에 따르면 안랩은 최근 개인정보 수집이용 동의서로 위장한 악성 바로가기(LNK) 파일 유포 정황을 공개했다.

바로가기 파일은 윈도에서 특정 파일이나 프로그램을 열도록 연결하는 파일이다. 보통 프로그램 실행이나 폴더 이동에 쓰이지만, 공격자가 악성 명령을 숨겨 넣으면 감염 통로가 될 수 있다.

아이콘과 파일명을 문서처럼 꾸미면 이용자는 실제 문서 파일로 착각하기 쉽다. 특히 파일 확장자를 보지 않는 환경에서는 일반 문서와 구분하기 어렵다.

안랩이 확인한 사례도 이런 방식이었다. 파일을 실행하면 겉으로는 정상 문서가 열린 것처럼 보인다. 그러나 뒤에서는 윈도 명령 실행 도구인 파워셸을 통해 악성 명령이 실행되고, PC 정보 수집과 추가 악성코드 감염으로 이어질 수 있다.

공격자는 파일 실행 뒤 원본 바로가기 파일을 삭제해 흔적을 줄이는 방식도 썼다. 이용자 입장에서는 문서가 정상적으로 열린 것으로 보이기 때문에 감염 사실을 바로 알아차리기 어렵다.

이력서로 위장한 악성 바로가기 파일도 꾸준히 확인되고 있다. 공격자는 특정 기업명이나 직무명을 넣어 실제 채용 문서처럼 보이게 파일명을 구성한다. 채용 담당자가 지원자 문서로 착각해 파일을 열도록 유도하는 것이다.

해외에서도 비슷한 공격이 이어지고 있다. 보안기업 아리아카는 지난 3월 채용 담당자를 겨냥해 이력서로 위장한 파일을 보내고, 내부의 악성 바로가기 파일 실행을 유도한 공격 사례를 공개했다.

체크포인트리서치가 지난해 공개한 제조업 대상 공격 사례도 유사하다. 공격자는 미국 제조·공급망 기업의 홈페이지 문의 양식으로 먼저 접촉한 뒤 협력 논의처럼 대화를 이어갔다. 이후 가짜 비밀유지계약서(NDA)가 포함된 압축파일을 보내 악성파일 실행을 유도했다.

각 사례의 공격 조직이나 세부 방식이 모두 같은 것은 아니다. 다만 공통점은 공격자가 기업 구성원이 업무상 반드시 확인해야 하는 외부 문서를 미끼로 삼았다는 점이다.

안랩은 문서처럼 보이는 파일이라도 실제 확장자를 확인해야 한다고 안내했다. 파일명이 문서처럼 보여도 끝이 '.lnk'라면 일반 문서가 아니라 바로가기 파일일 수 있다.

압축파일 안에 문서와 바로가기 파일이 함께 들어 있는 경우도 주의가 필요하다. 공격자는 정상 문서를 함께 넣어 이용자가 안심하도록 만든 뒤, 실제로는 바로가기 파일 실행을 유도할 수 있다.

기업 보안 담당자는 채용·영업·구매·고객지원처럼 외부 문서를 자주 받는 부서를 별도 위험 영역으로 관리할 필요가 있다. 의심 파일 신고 절차를 단순화하고, 업무용 PC에 낯선 자동 실행 항목이나 평소와 다른 외부 접속이 생겼는지도 점검해야 한다.

kxmxs4104@news1.kr