왓츠앱 피싱 공격: 가짜 영업 문서로 PC 해킹하는 신종 멀웨어 campanha

글로벌 왓츠앱 피싱, VBScript 악성 파일로 PC 장악하는 신종 멀웨어

최근 다국적 사용자를 겨냥한 피싱 공격이WhatsApp 메시지를 통해 VBScript 악성 파일을 유포하며 PC에 원격 접근을 시도하는 것으로 확인되었습니다. 공격자는 상대방의 신뢰를 얻기 위해 영문·스페인어·포르투갈어 등 현지 언어로 된 파일명으로 위장했으며, 감염된 계정에서 발송된 메시지는 실무 문서·청구서·계정 알림 등으로 꾸며졌습니다. 사용자가 파일을 다운로드하거나 클릭하는 순간 악성 스크립트가 실행되면서 시스템 제어 권한이 공격자에게 넘어가는 구조입니다.

이번 캠페인은 브라질·인도·멕시코·싱가포르·영국·스페인·대만·호주·러시아·베트남·말레이시아 등 11개국에서Telemetry로 확인되었습니다. 특히WhatsApp Web 또는 데스크톱 클라이언트를 통한 전달 방식이 달랐는데, 모바일 Web에서는 다운로드 후 실행을 유도하는 반면 데스크톱 클라이언트에서는Windows Script Host(wscript.exe)를 통해 직접 실행이 가능하다는 점이 특징입니다. 이는 멀웨어 배포의 편의성을 높이면서도 초기 감염률을 높이는 요인으로 작용했습니다.

##ManageEngine Endpoint Central 악용, IT 관리자 도구로 위장한 공격

감염 체인의 핵심은ManageEngine Endpoint Central이라는 원격 관리 도구입니다. 이 도구는 본래 기업 IT 팀이 시스템을 중앙에서 제어·모니터링하는 합법적 솔루션으로, 공격자는 이를 악성 코드 설치에 활용했습니다. VBScript는 사용자 동의 없이 UAC(사용자 계정 컨트롤) 보호 기능을 레지스트리 조작으로 무력화한 뒤, ZIP 아카이브 형태로 ManageEngine Endpoint Central을 다운로드합니다.

설치된 소프트웨어는 공격자가 제어하는 관리 서버와 연결되면서 vittima(피해자)의 PC를 원격으로 조작할 수 있는 백도어 역할을 하게 됩니다. 이는 마치 IT 관리자가 직원 PC를 관리하듯 정당한 프로세스로 위장되어 탐지·차단을 어렵게 만듭니다. 특히, ManageEngine Endpoint Central 자체가 인기 있는 관리 도구인 만큼 보안 솔루션에서도 신뢰할 수 있는 프로세스로 간주되어 악성 행위가 은폐되는 경향이 있습니다.

##VBScript의 은닉·회피 기법, 다단계 감염 구조

공격자는 VBScript 파일을 극도로 복잡한 난독화(Obfuscation) 기법으로 숨겼습니다. 파일명은 ‘Billing_Statement_2024.vbs’·‘Financial_Report_Q3.vbs’·‘Account_Notice_20240515.vbs’ 등으로 현지화되어 있어, 영업·재무 담당자나 일반 사용자에게 친숙한 이름으로 위장했습니다. 또한,WhatsApp Web을 통해 전달된 파일은 반드시 다운로드 후 실행을 거쳐야 했지만, 데스크톱 클라이언트에서는 클릭만으로도 wscript.exe를 통해 즉시 실행이 가능해 초기 감염률을 높였습니다.

악성 VBScript는 두 단계의 추가 스크립트를 외부 서버에서 가져오면서 시스템 보호 기능을 무력화합니다. 첫 번째 스크립트는 UAC(사용자 계정 컨트롤) 보호 기능을 레지스트리 조작으로 비활성화하고, 두 번째 스크립트는 ZIP 파일 형태로 ManageEngine Endpoint Central을 다운로드합니다. 이 과정에서 사용자의 추가 승인 없이 백그라운드에서 모든 과정이 진행되면서, 피해자는 감염 사실을 인지하기도 전에 시스템이 장악당합니다.

##감염 경로와 피해 범위, 11개국에 걸친 광범위한 확산

Telemetry에 따르면 이번 캠페인은 브라질·인도·멕시코·싱가포르·영국·스페인·대만·호주·러시아·베트남·말레이시아 등 11개국에서 확인되었습니다. 공격자는 피해자의 연락처에 저장된 다국적 사용자 계정을 악용했으며, 파일명은 현지 언어로 현지화되어 있어 각 국가별로 현실적인 위장 수법을 사용했습니다. 이는 단순 랜덤 공격이 아니라 조직적·지역적 타겟팅이 이루어진 것으로 보입니다.

WhatsApp의 계정 탈취 원인은 아직 명확히 밝혀지지 않았습니다. 일부 보안 전문가들은 SMS 기반 인증 bypass·피싱·악성 앱·공격자의 물리적 접근 등 다양한 가능성을 제기하고 있습니다.WhatsApp은 기본적으로 종단간 암호화를 제공하지만, 계정 itself(자체)의 보안 취약점은 여전히 남아 있어, 공격자는 사용자 기기나 클라우드 백업에 접근할 수 있는 방법을 찾았을 가능성이 큽니다.

##피해 사례와 공격자의 목적, 원격 제어·데이터 유출·랜섬웨어 등

지금까지 확인된 피해 사례는ManageEngine Endpoint Central을 통한 원격 접근이 주된 목적이었지만, 공격자는 추가적인 악성 행위를 수행할 수 있습니다. 예를 들어, 감염된 PC를 통해 내부 네트워크로 침투하거나, 민감한 문서·계정 정보·비즈니스 데이터를 유출할 수 있습니다. 또한, 랜섬웨어 배포·스팸 메일 발송·크립토마이닝 등 2차 감염을 유도할 가능성도 배제할 수 없습니다.

특히,ManageEngine Endpoint Central의 관리자 권한이 공격자에게 넘어가면서 vittima(피해자)의 PC는 물론, 회사 내부 네트워크까지 위협받을 수 있습니다. 이는 소규모 기업뿐 아니라 대기업·공공기관·금융기관 등에서도 유사한 방식으로 악용될 가능성이 있어, 보안 담당자들은 신속한 대응이 필요합니다.

##예방 및 대응 전략, 사용자·기업·보안 업체의 역할

이번 공격을 예방하기 위해서는 사용자·기업·보안 업체가 각각의 역할을 다해야 합니다. 우선, 사용자는WhatsApp을 포함한 모든 메시징 앱에서 예상치 못한 파일(특히 .vbs·.exe·.zip 등 실행 파일 확장자)을 절대 열어보거나 다운로드하지 말아야 합니다. 또한,Unknown Sender(알 수 없는 발신자)의 메시지나 비정상적인 언어·문맥의 메시지는 반드시 의심해야 하며, 파일은 클라우드 스토리지·가상 머신·격리된 환경에서 먼저 검사하는 것이 좋습니다.

기업의 경우,ManageEngine Endpoint Central을 비롯한 원격 관리 도구 사용 시 엄격한 접근 통제·다단계 인증·활동 로깅·정기적인 보안 패치를 적용해야 합니다. 또한,EDR(Endpoint Detection and Response)·XDR(eXtended Detection and Response)·SIEM(Security Information and Event Management) 솔루션을 도입해 이상 징후를 실시간으로 탐지·차단해야 합니다. 특히,UAC·DEP(Data Execution Prevention)·ASLR(Address Space Layout Randomization) 등 기본 보호 기능을 활성화하고, 레지스트리·시스템 파일·네트워크 트래픽을 모니터링하는 것이 중요합니다.

보안 업체는 이번 캠페인의 IoC(Indicator of Compromise)·TTP(Tactics, Techniques, and Procedures)·악성 파일 샘플을 분석해 공유하고, AI 기반의 행동 탐지·멀웨어 샌드박싱·DNS 필터링·이메일·메시징 보안 강화 솔루션을 개발해야 합니다. 또한,WhatsApp·Telegram·Signal 등 인스턴트 메시징 플랫폼과의 협업을 통해 실시간 위협 인텔리전스(Threat Intelligence)를 공유하고, 사용자에게 즉각적인 경고·교육을 제공해야 합니다.

##사회공학적 기법과 멀웨어의 진화, 지속적인 경계 필요

이번 공격은 단순 기술적 취약점뿐 아니라,심리적 조작(Social Engineering)을 적극 활용했다는 점에서 주목할 만합니다. 파일명은 ‘2024년 재무 보고서’·‘3분기 청구서’·‘계정 알림’ 등으로 위장되어 있어, 특히 재무·회계·영업 담당자에게는 더 큰 유혹으로 다가왔을 것입니다. 또한,현지 언어·문화적 맥락을 반영한 파일명은 해외 사용자에게도 더 신뢰감 있게 다가갔습니다.

최근 멀웨어는 VBScript·PowerShell·Python 등 스크립트 언어를 악용해 탐지를 회피하는 경향이 두드러지고 있습니다. 또한, ManageEngine·TeamViewer·AnyDesk 등 합법적 원격 관리 도구를 악용하는 사례가 증가하면서, 보안 솔루션에서도 신뢰할 수 있는 프로세스로 간주되어 탐지가 어려워지고 있습니다. 이는 보안 업체와 사용자 모두에게 새로운 과제를 던져주고 있습니다.

##기술적 대응과 정책적 지원, 종합적인 보안 태세 구축

이번 공격을 계기로,기업과 사용자는 종합적인 보안 태세를 재점검해야 합니다. 우선,Zero Trust(제로 트러스트) 보안 모델을 도입해 모든 접근·실행·전송을 인증·검증·모니터링해야 합니다. 또한,MFA(Multi-Factor Authentication)·SSH 키·API 토큰·특수 권한 등 다단계 인증을 적용하고,정기적인 보안 감사·침투 테스트·레드 팀演習를 수행해야 합니다.

정부·산업계·보안 업체는 협력해 글로벌 위협 인텔리전스 플랫폼을 구축하고,실시간 위협 정보 공유·악성 IP·도메인 차단·피싱 사이트 폐쇄를 신속히 진행해야 합니다. 또한,사용자 교육·공공 캠페인을 강화해 보안 의식 수준을 높이고,특히 중소기업·개인 사용자에게는 무료·저렴한 보안 도구·교육 프로그램을 제공해야 합니다.

##결론: 지속적인 위협에 대한 준비와 대응

왓츠앱 피싱을 통한 VBScript 멀웨어 공격은 전 세계 사용자에게 심각한 위협으로 다가왔습니다.ManageEngine Endpoint Central을 악용한 이 공격은 원격 접근·데이터 유출·2차 감염 등 다양한 피해를 유발할 수 있으며, 특히 기업의 내부 네트워크까지 위협할 가능성을 내포하고 있습니다. 사용자·기업·보안 업체는 각각의 역할을 다해 종합적인 보안 태세를 구축하고, 지속적인 모니터링·교육·협력을 통해 위협에 대응해야 합니다.

이번 공격은 멀웨어와 사회공학적 기법이 결합되면서 더욱 정교해지고 있는 현실을 보여주며, 보안의Constant Evolution(끊임없는 진화)이 필요하다는 점을 다시 한번 강조합니다. 사용자는 의심스러운 메시지·파일을 절대 클릭하지 말고,기업은 엄격한 접근 통제·모니터링·패치를 적용해야 합니다. 보안 업체는 실시간 위협 탐지·공유·교육을 강화해, 모든 사용자가 안전한 디지털 환경을 누릴 수 있도록 노력해야 합니다.