송년회와 신년회 안내 메일을 위장한 악성 파일이 발견돼 이용자의 주의가 요구된다.

◆ “매크로 허용 묻는 콘텐츠 출처 확인해야”

보안업체 이스트소프트는 오늘(27일) “연말연시를 틈타 각종 행사 장소를 안내하는 메일을 통한 악성 파일 유포를 확인했다”고 밝혔다.

문제의 메일은 송년회와 신년회 행사 장소를 홍보하는 MS 오피스 워드 문서 파일을 통해 유포됐다. 공격자는 특정 대상에게 파일을 발송한 뒤 첨부문서 열람을 유도했다.

문서를 열면 미리 저장된 매크로가 자동으로 실행된다. 해당 파일에 첨부된 매크로는 악성 파일을 내려받아 실행해 사용자 PC를 해커가 마음대로 조종할 수 있는 ‘좀비 PC’로 만든다.

이스트소프트는 “연말연시를 맞아 각종 모임이나 행사 초청장 등으로 위장한 맞춤형 사이버 공격이 성행할 수 있다. 특히 메일에 첨부된 문서 파일에서 매크로 허용 여부를 묻는 ‘콘텐츠 사용’ 버튼이 나타나면 즉시 실행하지 말고 출처를 확인해야 한다”고 강조했다.

◆ 해외 직구족 노린 랜섬웨어도 많아

얼마 전에는 블랙 프라이데이, 크리스마스 세일 등 연말 쇼핑 시즌을 맞아 해외 쇼핑몰에서 직접 상품을 구매하는 ‘직구족’을 노린 랜섬웨어가 발견되기도 했다.

안랩에 따르면 공격자는 유명 온라인 쇼핑몰을 사칭한 배송 안내 메일에 악성 압축파일(.zip)을 첨부해 불특정 다수에게 보냈다. 메일 본문에는 물품 발송 및 반품, 교환에 대한 내용까지 상세히 적혀 있어 사용자가 의심없이 메일 내 첨부파일을 클릭하기 쉬웠다.

사용자가 첨부된 압축파일을 풀고, 포함된 자바스크립트(.js)를 실행하면 랜섬웨어에 감염된다. 이후 사용자 PC에서 감염 안내 문구가 뜨며 PC 내 주요 파일들이 암호화된다. 이 랜섬웨어는 올초부터 발견된 록키(Locky) 랜섬웨어의 변종이다. 현재 안랩 V3제품군이 해당 랜섬웨어를 진단하고 있다.

◆ “스팸성 이메일 실행 자제해야”

안랩은 “최근 크리스마스, 박싱데이 등 시즌 특수를 노려 다양한 형태로 랜섬웨어가 대량 유포될 수 있다”며 “메일 본문에 물품 발송 및 반품, 교환에 대한 내용이 상세하게 쓰여 있어 이용자가 별다른 의심 없이 첨부 파일을 클릭하기 쉽지만 보낸 사람이 불분명한 메일은 함부로 열지 않는 게 좋다”고 조언했다.

일반적으로 랜섬웨어 피해를 최소화하려면 스팸성 이메일(첨부파일) 실행을 자제하고 중요 파일은 별도로 백업을 해두는 것이 좋다. 운영체제(OS)와 사용 프로그램은 최신으로 업데이트하고, 수상한 웹사이트 방문은 자제해야 하는 일도 필요하다.