안랩은 최근 대학 논문심사 및 상반기 학술대회 등 관련 활동이 열리는 가운데 학술 관련 문서파일을 위장한 악성코드를 발견해 사용자 주의를 당부한다고 8일 밝혔다.

공격자는 ‘2020_OOO(특정 학회 이름)_초전도 논문.hwp’ ‘학술대회.hwp’ 등 학술 관련 파일명으로 악성코드를 포함한 파일을 유포했다. 만약 사용자가 최신 보안패치를 하지 않은 한글 프로그램으로 해당 파일을 실행하면 악성코드에 감염된다. 이 악성 문서는 아무 내용 없는 빈 문서이기 때문에 사용자가 의심할 수 있지만 실행 즉시 악성코드 감염이 이뤄져 문서를 닫아도 감염될 수 있다.

감염 이후 악성코드는 공격자가 악성코드를 원격 조정하기 위해 사용하는 ‘커맨드&컨트롤 서버’(C&C서버)와 통신해 추가 악성코드를 내려받아 실행한다. 추가 악성코드는 다운로드 폴더 목록, 문서 폴더 목록, 바탕화면 목록, 설치 프로그램 목록, 감염 PC의 IP주소 등 사용자 PC의 주요정보를 탈취한다. 이후 공격자의 설정에 따라 원격 조종, 랜섬웨어 등 다양한 악성코드를 추가할 수 있어 더욱 주의해야 한다.

현재 V3 제품군은 해당 악성코드를 진단 및 차단하고 있다.

이같은 악성코드의 피해를 줄이기 위해서는 ΔOS(운영체제) 및 인터넷 브라우저(IE·크롬·파이어폭스 등), 오피스 SW 등 프로그램 최신 보안 패치 적용 Δ문서파일, 실행파일 등 출처가 불분명한 파일 다운로드·실행 금지 ΔV3 등 백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다.