잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 국내 구직 영문 이력서로 위장한 표적공격형 악성파일이 발견되었다고 25일 밝혔다.
 
이번에 발견된 악성파일은 특정 국내 기업들을 겨냥해서 채용관련 구직용 이력서와 자기소개서를 ZIP 방식의 압축된 형식으로 유포되며, 사용자로 하여금 개인 구직 정보내용 문서처럼 오인하도록 압축파일 내부에는 MS Word 문서처럼 아이콘과 확장명 등을 위장한 실행파일(EXE)이 포함되어 있다.

   
해당 문서파일(DOC)파일을 실행할 경우 실제 이력서와 자기소개서 내용의 정상적인 문서파일을 보여주는 동시에 사용자 PC에는 악성파일이 설치된다.
 
설치된 악성파일은 다음(Daum)클리너처럼 파일명을 "DaumCleans.exe" 이름으로 위장하여 사용하였다. 악성파일은 사용자 PC에 임시폴더를 생성시켜 몰래 잠복하고 있다가 사용자 정보를 수집하여 유출 시도하거나 외부의 원격 호스트로 몰래 접속하여 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 다양한 피해가 발생할 수 있다.

   
특히, 악성파일은 마치 정상적인 파일처럼 둔갑하기 위해 국내 온라인게임 관련 기업의 유효한 정식 디지털 서명을 포함하고 있어, 불법적으로 유출되어 악용된 것으로 추정된다.
 
잉카인터넷 ISARC 대응팀 문종현팀장은 “특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도”라며 “공격자들은 이러한 보안 위협들을 통해서 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다”라고 강조했다.
 
잉카인터넷 ISARC는 신규 보안취약점과 관련한 자료 수집 및 모니터링을 지속적으로 진행하고 있으며 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com