아주경제 장윤정 기자=추석을 맞아 각종 도소매 업종의 사장님들 손길이 바쁘다. 늘어나는 주문서를 처리하기 위해 바쁘게 움직이는 가운데서도 정상적인 주문서를 위장한 악성코드에 주의할 필요가 있다.

구매발주 주문서를 위장한 악성코드 첨부메일

19일 안랩은 해외에서 발견된 악성 이메일 중 구매 발주서(PO)를 첨부한 것으로 위장해 악성코드를 감염시키는 사례가 발견됐다고 밝혔다. 아직 국내에서는 비슷한 사례가 많지 않지만, 해외의 경우 동일 패턴으로 시도되는 공격이 빈번하게 발생하고 있는 만큼 구매 발주서나 계악서 등의 문서를 이메일로 자주 주고받는 일반 기업의 직원들은 해당 공격을 각별히 주의가 필요하다.

이 악성파일에 감염되면 ‘%appdata%clkmediacklmde.scr’ 경로에 자기 복제본을 생성하고 부팅 시 자동 실행 되도록 설정한다. 이후 저장된 키로그를 특정 서버(sant***.n**p.org:4666)’에 주기적으로 전송한다.

안랩측은 “정상적인 기관이나 업체로 위장해 메일에 파일을 첨부하는 형태의 악성코드 유포 행위는 꾸준히 발생하고 있다”며 “현재까지도 APT(Advanced Persistent Threat)와 같은 목적을 위한 주요한 공격 과정 중 하나로 이용되고 있다”고 밝혔다. 이어 “이같은 주변의 보안 위협을 인지하고, 자신과 회사의 자산을 안전하게 지키기 위한 노력이 필요하다”고 경고했다.