/사진=로이터
/사진=로이터

정상 문서파일로 위장해 유포되는 악성코드 ‘트릭봇’ 감염 사례가 발견됐다. 해당 문서파일은 이메일을 통해 전달되는 것으로 드러났다.
안랩은 5일 메일에 첨부된 워드프로세서 파일(.doc)로 위장한 악성코드가 유포 중이라며 사용자들의 주의를 당부했다.

이번에 발견된 악성코드는 기업을 대상으로 하며 실행 후 ‘이전 버전에 만들어진 문서’라는 알림창을 띄운다. 이때 사용자가 ‘콘텐츠 사용’ 버튼을 누르면 파일 오류를 위장한 가짜메시지가 팝업되고 사용자 몰래 악성코드를 설치한다.


트릭봇은 사용자 PC에서 웹브라우저 접속 정보와 금융거래정보 등을 탈취한다. 트릭봇은 2016년 처음 등장한 악성코드로 가장 위험한 축에 속한다. 감염과 동시에 악성코드 저장소 서버에 접속을 시도하며 정보유출을 담당하는 봇과 내부전파를 담당하는 봇이 분류돼 전파기능이 강력한 축에 속한다.

안랩은 이 피해를 줄이기 위해 출처가 불분명한 메일과 첨부파일의 실행을 금지하고 운영체제(OS)와 브라우저, 프로그램 등을 최신버전으로 유지할 것을 당부했다.

김준석 안랩 분석팀 연구원은 “메일에 악성 문서 파일을 첨부해 유포하는 사례는 과거부터 있었다”며 “기업에는 트릭봇이 더 치명적으로 작용할 수 있는 만큼 출처가 불분명한 메일의 첨부파일 실행을 자제해 달라”고 말했다.