‘예약 취소 메일’로 시작된 해킹…유럽 호텔업계 노린 신종 악성코드 경고

김민준 기자

2026.01.05 (월) 23:25

시큐로닉스가 유럽 호텔 및 관광업계를 겨냥한 악성코드 캠페인 'PHALT#BLYX'를 경고했다. 예약 취소 피싱 메일과 정상 실행도구를 악용해 사용자가 직접 코드를 실행하게 하는 방식으로, 러시아계 해커 조직 연루 가능성이 제기됐다.

‘예약 취소 메일’로 시작된 해킹…유럽 호텔업계 노린 신종 악성코드 경고 / TokenPost.ai

사이버보안 기업 시큐로닉스(Securonix)가 유럽의 호텔 및 관광 산업을 대상으로 한 신종 악성코드 캠페인 'PHALT#BLYX'에 대해 경고했다. 이번 공격은 기존 악성코드 다운로드 방식 대신, 사회공학 기법과 윈도우의 정상 도구를 악용해 악성 코드를 사용자에게 직접 실행하게 만드는 방식이 특징이다.

공격은 주로 여행 성수기에 예약 취소를 사칭한 피싱 메일로 시작된다. 메시지에는 높은 수수료가 함께 첨부돼 피해자에게 심리적 압박을 유도하며, 본문 링크를 클릭하면 실제와 거의 구별되지 않는 가짜 부킹닷컴 웹사이트로 연결된다. 이 위조 사이트는 사용자로 하여금 오류 메시지와 '블루스크린'을 경험하게 만든 뒤, 사전에 클립보드에 복사된 명령어를 윈도우 실행창에 붙여 넣도록 유도한다.

이른바 'ClickFix' 전술로 불리는 이 기법은 자동화된 보안 솔루션은 우회하면서 사람의 행동을 기반으로 악성코드를 실행하도록 설계됐다. 클립보드에 삽입된 명령어는 마이크로소프트의 정상 유틸리티 'MSBuild.exe'와 파워셸을 이용해 다단계 감염 로직을 시작하며, 최종적으로는 원격 액세스 트로이목마인 DCRat을 설치하는 데 성공한다.

감염 이후에는 윈도우 디펜더를 비활성화하고 시스템에 지속적으로 머물 수 있는 설정을 추가하며, 감염된 기기에서 키보드 입력 기록, 명령 실행, 추가 악성코드 배포까지 수행이 가능해진다. 시큐로닉스 측은 이 과정에서 시스템 프로세스의 무결성을 위장하기 위해 프로세스 할로잉 기법도 활용됐다고 덧붙였다.

아직 구체적인 배후 세력은 밝혀지지 않았지만, 악성코드 내 디버그 정보 중 일부와 공격 인프라에서 확인된 사항들을 토대로 러시아어를 사용하는 해커 조직과의 연계 가능성이 제기되고 있다.

현재까지는 유럽 내 호스피탈리티 업계만을 겨냥했지만, 시큐로닉스는 이번 공격에서 사용된 기법이 충분히 다른 산업 분야로 확대될 수 있다고 경고했다. 시큐로닉스 연구진은 "파일 기반 탐지에만 의존해서는 다단계 감염을 막을 수 없다"며, "정상 프로세스의 행태 분석 및 의심스러운 실행 흐름을 추적하는 방식의 보안 전략으로 전환해야 한다"고 강조했다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

광고문의 기사제보 보도자료

#사이버보안 #악성코드 #사회공학 #피싱 #클립보드공격 #윈도우도구 #유럽호텔