매크로 악성코드, 2015년 하반기부터 전년도 비해 약 500% 급증

[보안뉴스 김경애] 우크라이나 정전사태의 시발점이 된 공격으로 매크로 악성코드가 지목되는 등 최근 매크로가 창궐하는 움직임을 보이고 있다. 특히 2015년 하반기부터 전 세계적으로 급증하고 있어 예의주시할 필요가 있다는 지적이다.



하우리 최상명 CERT 실장은 “2014년 하반기부터 점차 증가하기 시작하던 매크로 악성코드가 2015년 하반기에는 전 세계적으로 전년도에 비해 약 500% 가량 급증했다”며, “수 만개의 악성코드가 발견되고 있다”고 말했다.

오피스 프로그램에서 매크로 악성코드가 동작하기 위해서는 우선 매크로 기능이 활성화되어야 하는데, 이를 노린 공격자는 사용자가 매크로를 활성화하도록 유도한다.

매크로 활성화를 유도하는 방법은 보통 이력서, 주문서 등을 가장한 메일을 보내 첨부된 문서를 열게 만드는 것이다. 가장 널리 사용되는 방법으로는 문서 내용을 알아보지 못하게 하고 매크로를 사용하면 내용을 볼 수 있다고 유도하는 방법이다.

특히, 최근 우크라이나 이바노프란키우시크주에서 발생한 정전사태의 시발점으로 매크로 악성코드가 꼽히고 있다. 이와 관련 우크라이나 전력 당국은 MS 오피스 워드 문서에 포함된 매크로 악성코드가 최초 공격경로였다고 밝혔다.

최상명 실장 역시 “매크로 악성코드는 지난 12월에 발생한 우크라이나 정전 사태에도 관여했으며, 최근 APT 공격에도 자주 사용되고 있다”고 말했다.

우선 매크로 악성코드가 망분리된 산업용 제어 시스템(ICS)의 별도 VPN을 통해 윈도우 CE 및 윈도우 기반의 원격 관리 솔루션 프로세스를 종료시키게 된다. 이후 공격자는 하드파괴 악성코드로 추가 공격해 특정 확장자 파일들을 파괴하거나 하드 포맷 등으로 PC를 사용하지 못하도록 하는 것이다.

이에 대해 최상명 실장은 “이러한 공격방법은 북한 추정 해커조직의 한수원 공격방식과 유사하다”며 “해당 악성코드 시리즈는 2015년 우크라이나 지방선거 당시 우크라이나 언론사들을 감염시켜 각종 사진, 동영상 등 미디어 파일들을 대량으로 파괴한 바 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>