중소기업 서버에서 WMF 악성코드 첨부된 스팸메일 대량 발송...KISA 현장조사 중

지난달 28일 세계적으로 첫 보고된 제로데이(Zero-Day) 취약점을 이용한 악성코드 공격이 연일 계속되고 있는 가운데, 이 취약점을 악용한 악성코드(일명; WMF 악성코드)가 첨부된 스팸메일이 우리나라에서 대량 발송된 것으로 알려져 충격을 주고 있다.

3일 한국정보보호진흥원(KISA)과 핀란드 보안업체 F-시큐어에 따르면, 지난 2일 국내 서버에서 윈도메타파일(WMF) 악성코드가 첨부된 스팸 메일이 대량 발송되는 사건이 발생했다.

해당 서버는 국내 모 중소기업에서 운영하는 서버로 확인됐으며, 현재는 서버 운영이 중단된 상태다.

WMF 악성코드는 마이크로소프트 윈도의 그래픽엔진이 이미지파일인 WMF 파일을 처리하는 과정에서 악의적인 코드를 원격지에서 실행할 수 있는 취약점을 이용한 공격코드다.

특히, 해당 취약점이 발견된 지 24시간도 지나지않아 이를 악용한 악성코드가 유포된 세계 첫 제로데이 공격으로 전세계 보안 전문가들을 긴장시키고 있다.

이번에 국내 서버를 통해 대량 발송된 스팸메일(사진ㆍ출처=F-시큐어)은 사용자들의 호기심을 극대화하기 위해 미국 보안당국(US State Department's security unit)이 스파이들에게 발송되는 '첩보문서'로 위장하고 있다.

발신자가 'tommy@security.state.gov'로 된 이 이메일은 "디지털 지도를 첨부했다. 당신은 반드시 그 장소에서 그 사람을 만나야한다. 지도는 보는 즉시 삭제해라. 행운을 빈다"는 내용과 함께 'MAP.WMF'이 첨부돼 있다.

사용자가 첨부된 'MAP.WMF' 파일을 클릭하거나 미리볼 경우, PC에 자동으로 설치돼 특정 웹사이트에서 백도어 프로그램(일종의 해킹 툴)을 다운로드해온다. 이 경우, 시스템 권한이 해커에게 완전 장악될 수 있다.

국내 보안 전문가들은 이번 사건과 관련, 해외 해커들이 WMF파일을 대량 유포하는 과정에서 보안당국의 추적을 회피하기 위해 국내 서버를 스팸메일 경유지로 악용한 것으로 보고 있다.

KISA 관계자는 "해외 해커들이 인터넷 인프라가 잘 발달돼 있다는 이유로 국내 서버를 스팸메일 경유지로 악용하는 사례가 비일비재한만큼, 이번 제로데이 공격의 경유지로 악용될 소지가 다분하다"며 "서버 관리자들은 각별히 신경써야한다"고 당부했다. KISA는 현재 해당 피해서버에 대한 현장 조사활동에 착수한 상태다.

한편, 현재 윈도 98, ME, 2000, XP, 서버2003 등 대부분의 윈도 사용자들이 이같은 공격 취약점에 노출돼 있으며, 아직까지 이를 근본적으로 막을 수 있는 MS의 보안패치가 나오지 않아, 이용자들의 철저한 주의가 당부된다.

국가정보원 국가사이버안전센터(NCSC)는 "현재 보안패치가 발표되지 않은 상황에서 개인사용자들이 피해를 예방하기 위해선 당분간 이미지파일 미리보기가 안되도록 시스템 설정을 변경(MS 권고문 참조)하고, 바이러스 백신에 대한 최신 업데이트를 실시해줄 것"을 당부했다.

특히, 악의적으로 작성된 WMF파일이 링크된 메일 또는 웹페이지를 방문 시 감염될 수 있으므로, 이메일과 인터넷 사용시 각별히 주의해야된다고 지적했다.