Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    일본산업뉴스요약

    악성 소프트웨어 이모텟(Emotet), ‘감염 폭발’ 조짐 -- 트렌드마이크로를 사칭한 악질 수법
    • 카테고리사물인터넷/ ICT/ 제조·4.0
    • 기사일자 2020.9.4
    • 신문사 Nikkei X-TECH
    • 게재면 online
    • 작성자hjtic
    • 날짜2020-09-15 08:06:34
    • 조회수321

    Nikkei X-TECH_2020.9.3

    악성 소프트웨어 이모텟(Emotet), ‘감염 폭발’ 조짐
    트렌드마이크로를 사칭한 악질 수법

    2019년 가을에 맹위를 떨치며 2020년 7월에 다시 활동을 재개한 악성 소프트웨어 이모텟이 폭발적인 감염의 조짐을 보이고 있다. 정보처리추진기구(IPA)는 9월 2일, 이모텟 관련 문의가 급증하고 있다고 발표. 보안 대책 벤더 트렌드마이크로를 사칭한 메일도 확인되는 등 주의가 필요하다고 한다.

    -- ‘2개월 간 34건’에서 ‘2일 간 23건’으로 급증 --
    IPA의 정보시큐리티 안심상담 창구에는 올해 7월~8월 두 달 동안에 이모텟 관련 문의가 34건 있었다. 그런데 9월 1일과 2일 오전 중에만 23건의 문의가 몰렸다고 한다. 말 그대로 ‘급증’(IPA) 한 것이다. 상담 내용은 ‘이모텟 감염되었다’, ‘메일 계정이 공격자에게 해킹 당해 외부에 공격 메일을 송신했다’ 등이었다.

    이모텟은 살포형 메일로 확산된다. 살포형 메일이란 불특정다수에게 같은 서면의 위장 메일을 전송해 악성코드에 감염시키거나 피싱 사이트로 유도하는 등의 사이버 공격이다.

    이와 같은 살포형 메일을 감시하고 정보를 공유하는 보안 기술자 모임인 ‘살포형 메일 회수회(回收会)’에서도 올해 8월 30일부터 매주 감염 폭발을 확인하고 있다. 그 멤버 중 한 명인 와가(@waga) 씨에 따르면 9월 3일에만 이모텟에 감염된 것으로 추정되는 jp 도메인의 메일주소는 2,566건에 달하고 있다(오전 1시 55분 시점).

    이모텟이 공격 메일에 첨부한 MS오피스 파일을 열어 매크로를 실행했을 때 감염되고 만다. 감염되었을 경우, 컴퓨터에 저장된 메일 내용 및 메일 주소가 해킹 당해 인터넷 상의 명령 서버(C&C 서버)로 전송된다.

    공격자는 해킹한 정보를 바탕으로 다른 감염자를 통해 공격 메일을 송신, 감염 확대를 도모한다. 이 공격 메일은 매우 정교해 송신자 이름에 평상시 메일을 주고 받는 사람의 이름을 이용해 답장 메일로 위장한다. 공격을 받은 사람은 아무 생각 없이 열어보게 되기 쉽다.

    IPA에 따르면 올해 9월 1일에 확인한 공격 메일 내용은 ‘협력회사 여러분’이라는 일본어로 시작되었다고 한다. 공격 메일을 받은 사람은 업무에 관련된 메일이라고 생각해 첨부된 워드 파일을 열어보게 된다.

    이 워드 파일에는 악의적인 매크로가 숨겨져 있기 때문에 ‘콘텐츠 유효화’를 클릭하지 않도록 주의가 필요하다. 이 외에도 ‘소방 검사’, ‘입금 금액 통지∙청구서 발행 안내’, ‘다음 회의의 의제’, ‘변화’ 등의 제목이나 첨부 파일명이 확인되었다고 한다.

    새로운 공격 수법도 나왔다. 9월 2일에 확인된 공격 메일에는 패스워드가 달린 ZIP 파일이 첨부되었다고 한다. IPA는 ‘첨부 파일의 암호화로 보안 제품 검지∙검역을 빠져 나와 수신자에게 공격 메일이 도착할 확률이 높다’라며 경종을 울렸다. ZIP 파일 안에는 역시 악의적인 매크로가 숨겨진 워드 파일이 포함되어 있다.

    -- 트렌드마이크로를 사칭한 메일 확인 --
    살포형 메일 회수회에 소속된 moto_sato 씨에 따르면 9월 3일에는 보안 벤더인 트렌드마이크로를 사칭한 메일이 확인되었다고 한다. 이 공격 메일은 설문조사를 위장한 것이었다.

    이 공격 메일에도 동일하게 워드 파일이 첨부되어 있었다. 파일에는 악질 매크로가 포함되어 있어 ‘콘텐츠 유효화’를 클릭할 경우에는 이모텟에 감염된다.

    “감염된 조직은 수십~수백 명 규모의 중소기업이 많다. 비즈니스의 공급망을 통해 감염이 확산되고 있다”라고 moto_sato 씨는 지적한다. 예를 들어 식품 제조업에서 식품 도매업으로, 더 나아가 운송업으로 확대되는 케이스와 건설자재 기업에서 건설회사로 확산되고 부동산을 통해 개인 고객으로까지 확산되는 케이스도 확인되었다고 한다.

    이모텟은 오피스 파일의 매크로를 통해 감염된다. 매크로가 윈도우에 표준 탑재된 파워셸(PowerShell)을 기동시켜 파워셸 명령어로 이모텟 본체를 다운로드해 실행한다.

    이모텟에 감염되기 않기 위해서는 ‘매크로를 실행하지 않거나 무효화하는 방법이 유효하다. 더 이상의 감염 확대를 막기 위해서라도 개개인이 감염 방법을 이해해 철저하게 대비해야 할 것이다.

     -- 끝 --

    Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.

    목록