• SWUFORCE/기술 스터디

    [Ahnlab] 성과 보고서로 위장한 피싱 메일, 클릭 이후 벌어지는 일

    2026. 3. 24.

    by. 김예삐

    최근 안랩이 분석한 사례에서, 직원 성과 보고서처럼 보이는 메일을 이용해 직장인과 기업을 노린 피싱 공격이 확인됐다. 

     

     

    피싱 메일 본문

    왜 '성과 보고서'였을까?

    사람이 스스로 파일을 열게 만들기 쉬운 제목이기 때문이다.
    받는 사람 입장에서는 당연히 회사에서 보낸 메일이라고 생각했을 것이고, 크게 이상하게 여기지 않았을 가능성이 높다.
    그런데 여기에 '해고 예정 내용'까지 섞이면, 불안감 때문에 더 빨리 확인하고 싶어질 것이다.
    * 이처럼 사람의 심리를 이용해 스스로 행동하게 만드는 공격 방식을 사회공학 공격이라고 한다.
     
    즉, 이 공격은 사람의 심리를 이용한 방식에서 시작된다고 볼 수 있다.
     

    첨부된 압축 파일 내부

     

    파일을 열면 무슨 일이 생길까?

    첨부파일은 RAR 압축파일이고, 그 안에는 '2026년 1월 보고서.exe'라는 NSIS 기반 실행 파일이 들어 있다.
    문제는 압축을 푼 뒤 내부 파일의 확장자를 자세히 보지 않으면, 실행 파일을 일반 보고서 문서처럼 오인하기 쉽다는 점이다.
    실제로는 문서가 아니라, 실행하면 바로 동작하는 프로그램이다. 
     
    정확히 말하면 이 파일은 NSIS 방식으로 만들어진 실행 파일이다. 
    * NSIS(Nullsoft Scriptable Install System) 방식은 윈도우 설치 프로그램을 만드는 방식으로, 공격자는 이를 악용해 악성파일을 일반 설치 프로그램처럼 보이게 위장할 수 있다.
     
    이 파일을 실행하면 바로 최종 악성코드가 보이는 것이 아니라, 먼저 GuLoader라는 악성코드가 동작한다.
    이 악성코드는 구글 드라이브 주소에서 쉘코드를 받아와 메모리에 올려 실행한다.
    URL: hxxps://drive.google[.]com/uc?export=download&id=1lJw08VGsHS9PHBWvkLiW7HzyI8g2rzrn
    * 로더(Loader)는 다른 악성코드를 불러와 실행시키는 역할을 하는 악성코드를 말한다.
     
    하드디스크에 파일을 남기는 방식이 아니라 메모리에서 바로 실행되기 때문에 흔적을 찾기 더 어렵다.
    * 하드디스크에 파일을 남기지 않고 메모리에서 바로 실행되는 방식을 '파일리스 공격'이라고 부른다.
     
    여기서 중요한 점은, 공격자가 악성코드를 자기 서버가 아니라 구글 드라이브 같은 정상 서비스를 이용해 받아오게 만들었다는 것이다.
    이런 서비스는 원래 많이 쓰이기 때문에 보안상으로 수상하게 보이지 않을 수 있다.
     

    Remcos RAT의 C2 정보

     

    Remcos .RAT의 키로깅 기능

    그렇다면 최종적으로 무엇이 설치되는 걸까?

    최종적으로 실행되는 것은 Remcos RAT이다. 이 악성코드는 공격자가 피해자 PC를 멀리서 조종할 수 있게 해준다.
    안랩 분석에 따르면 이 악성코드는 키보드 입력 기록, 화면 캡처, 웹캠·마이크 제어, 그리고 브라우저 기록이나 비밀번호 탈취 같은 기능을 수행할 수 있다고 한다.
    Remcos RAT C2: 198[.]46.173.5:2404
    * RAT(Remote Access Trojan)는 공격자가 감염된 PC를 원격으로 조종할 수 있게 해주는 악성코드이다.
     
    쉽게 말해, 사용자는 단순히 파일 하나 열었다고 생각할 수 있지만, 실제로는 그 순간부터 내 컴퓨터가 공격자에게 넘어갈 수도 있는 상태가 되는 것이다. 
     

    왜 탐지가 어려울까?

    이 공격이 까다로운 이유는 다음과 같다.
    1. 성과 보고서라는 제목으로 사용자를 안심시킨다.
    2. 그다음 실행 파일을 문서처럼 보이게 숨긴다.
    3. 이후에는 구글 드라이브를 이용해 정상 트래픽처럼 보이게 하고, 메모리에서 바로 실행되도록 한다.
    즉, 하나만 보면 평범해 볼 수 있겠지만, 이 흐름이 이어지면 사용자는 속기 쉽고 탐지도 어려워진다.
     

    어떻게 조심해야 할까?

    가장 중요한 건, 업무 관련 파일처럼 보여도(중요한 파일처럼 보여도!) 바로 열지 않아야 한다.
    특히 압축 파일에 실행 파일이 들어 있다면 먼저 의심해야 하고, 발신자 주소도 꼭 확인해야 한다.
    '긴급', '해고', '즉시 확인'처럼 사람을 불안하게 만드는 표현이 들어 있다면 오히려 더 의심해야 한다. 
     
    안랩에서는 접속하거나 연결되는 웹사이트 주소를 반드시 확인하고, 이메일 발신자가 신뢰할 수 있는 대상인지 확인해야 한다고 안내했다.
    또한 본문 내 하이퍼링크나 첨부 파일은 각별한 주의를 기울여 열어야 한다고 강조했다.
     
    결국 피싱 메일은 이상한 링크만 보내는 단순한 공격이 아니다.
    오히려 평범해 보이기 때문에 더 위험할 수 있다.
     

    IOC 정리

    첨부 파일명: 2026년 1월 보고서.rar
    압축 내부 실행 파일명: 2026 1월 보고서.exe
    다운로드 주소: hxxps://drive.google[.]com/uc?export=download&id=1lJw08VGsHS9PHBWvkLiW7HzyI8g2rzrn
    Remcos RAT C2: 198[.]46.173.5:2404
     
     
     
    참고 자료
    https://www.ahnlab.com/ko/contents/content-center/36089

     

    성과 보고서로 위장한 피싱 메일, 클릭 이후 벌어지는 일

    연말연시 인사·평가 시즌을 노려 직원 성과 보고서로 위장한 악성코드가 유포되고 있다. GuLoader 공격 방식과 대응 시 주의사항을 정리했다.

    www.ahnlab.com

     

    'SWUFORCE > 기술 스터디' 카테고리의 다른 글

    [Ahnlab] 스피어 피싱 이후 무슨 일이 일어날까? 김수키 침투 시나리오  (0) 2026.04.07

    댓글

    관련글

    맨 위로
전체 글 보기

티스토리툴바