이스트시큐리티 시큐리티대응센터(ESRC)가 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어, 각별한 주의와 보안 강화가 필요하다고 강조했다.

ESRC는 이번 공격이 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 밝혔다. 첨부파일에는 ‘e-ticket 확인증_(랜덤숫자).iso’ 파일명의 압축파일을 첨부했다. 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도한다.

‘e-ticket 확인증_66016630.pdf.scr’ 파일은 닷넷 기반으로 제작된 악성코드다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행한다. 사용자가 파일 확인을 위해 압축 파일을 해제하는 순간 악성파일을 내려받게 된다.  ‘e-Ticket 확인증_95291015.iso’ 파일 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타나면서 컴퓨터를 감염시킨다.

이메일에 첨부됐던 악성 코드에 감염될 경우 공격자가 지정한 특정 명령 제어(C2) 서버와의 은밀한 통신을 통해, 공격자가 감염된 PC를 원격지에서 제어할 수 있게 됨은 물론 추가 악성코드를 설치한다. 특정 기업 내부 환경을 노려 맞춤형 랜섬웨어를 유포할 가능성도 높다. 해당 악성코드를 유포하는 공격자는 발신지 이메일 주소를 다양하게 만들어 차단과 추적을 어렵게 하고 해당 악성 파일이 실행되면 특정 명령 제어(C2) 서버로 통신을 하여 추가 악성코드를 다운로드하고 실행하게 만든다.

| Anti-VM 기능이 존재하는 바이너리 코드 화면

ESRC는 공격에 사용된 악성 코드를 분석한 결과, 상반기 중 한국 기업의 AD서버를 대상으로 클롭(Clop) 랜섬웨어를 은밀하게 유포한 러시아 기반 추정의 ‘TA505’ 조직이 위협 배후에 가담하고 있는 것으로 의심했다. ESRC에 따르면, TA505 조직은 지난달에도 ‘송금증 $114.36’이라는 내용의 악성 이메일을 한국에 다량 전파한 이력이 있다. 이번 공격이 기존과 다른점은 기존에는 주로 ‘XLS’, ‘DOC’ 문서 파일의 매크로 기능을 활용했지만, 이번에는 압축 파일 내부에 PDF 문서 파일로 위장한 실행파일을 첨부한 특징이 있다.

문종현 ESRC센터장은 “위협 배후로 추정되는 ‘TA505’ 조직은 한국의 불특정 다수의 기업을 대상으로 맞춤형 해킹 이메일을 유포한 후, 다단계 내부 침투를 통해 은밀하게 클롭 랜섬웨어를 유포했던 러시아 기반 추정의 고도화된 사이버 범죄조직”이라며 “사회공학적 기법과 유창한 한글로 현혹한 악성 이메일을 유포하고 있어, 유사 보안위협에 노출되지 않도록 각별히 주의해야 한다”라고 했다.