북한 해킹조직으로 알려진 김수키(Kimsuky)가 최근 코로나19 바이러스를 미끼로 해킹을 시도한 것으로 뒤늦게 전해졌다. 특히 이번 공격은 그동안 상대적으로 안전하다고 알려진 미국 애플사의 맥(Mac) 운영체제(OS) 사용자를 대상으로 진행돼 사용자들의 각별한 주의가 요구된다.
국내 보안업체 이스트시큐리티(ESRC) 지난 21일 “코로나19 바이러스 이슈를 악용한 김수키 조직의 APT(지능형 지속위협) 공격이 또 한 번 포착됐다”며 “이번에 발견된 악성 파일은 ‘COVID-19 and North Korea.docx’ 파일명으로 유포됐다”고 전했다.
파일명을 전 세계적으로 유행하고 있는 코로나(COVID)-19로 설정, 사용자의 호기심을 끌어내려는 수법니다. 특히 정보가 거의 없는 북한의 코로나19 내용인 것처럼 파일명을 만들어 사용자들의 클릭을 유도하고 있다.
김수키는 지난달 말에도 코로나19 바이러스를 매개로 해 공격을 시도한 바 있다.
ESRC는 “이번에 발견된 (워드) 파일을 실행하면, 공격자가 미리 설정해 놓은 C2(Command & Control )서버로 연결된다”며 “이 워드 파일에는 악성 매크로가 포함되어 있어 사용자의 실행을 유도한다”고 설명했다
업체는 이어 “만약 사용자가 ‘콘텐츠 사용’을 클릭하게 되면, ‘Dear Friends’로 시작하는 내용의 워드 파일 내용이 보인다”며 “이는 정상 파일처럼 보이도록 위장한 것으로, 백그라운드에서는 워드 파일에 포함되어 있던 악성 매크로가 동작을 하게 된다”고 말했다.
이는 사용자가 해킹을 당했다는 것을 인지하지 못하게 하려는 속셈이다.
이번 공격은 맥 OS 사용자를 대상으로 진행됐다는 점에서 기존과는 차이점이 있다. 보통 악성코드나 바이러스를 제작하는 사람들은 주로 사용자가 압도적으로 많은 윈도우 OS를 노렸다. 그러나 최근 맥 OS를 이용자가 많이 늘어나자 공격을 시도한 것으로 보인다. 여기에 상대적으로 악성코드에 안전한 OS라는 사용자들의 심리를 노렸을 가능성도 있다.
ESRC는 “이번 공격에서 특이한 점은, 윈도우 OS가 아닌 맥 OS의 MS(마이크로소프트) 오피스의 이용자를 타깃으로 하고 있다는 점이다”며 “악성 파일을 실행한 사용자의 (컴퓨터) 환경이 맥 OS에 MS 오피스 맥 버전이 설치된 경우, 공격자에게 사용자 정보가 수집될 수 있다”고 전했다.
맥 OS를 사용하면서 MS 오피스를 이용하는 사람들만 노렸다는 이야기로 두 조건이 모두 성립해야 정보가 유출된다는 말이다.
이어 ESRC는 “(악성 파일에 감염되면) 5분마다 사용자 정보들을 수집하고 추가적인 악성코드 다운로드 및 실행한다”며 “파일을 전송할 때 사용되는 특징은 기존 김수키의 방식과 동일하다”고 덧붙였다.
문종현 ESRC 이사는 “라자루스의 경우 비트코인 거래소를 노리고 맥 OS용 악성코드를 만든 사례가 있지만 김수키의 사례는 이번이 처음으로 생각된다”며 “그동안 맥 OS가 상대적으로 안전하다고 알려졌으나 더는 안전지대가 아니다”고 말했다.
문 이사는 “이제는 맥OS 사용자들도 문서를 열기 전 이메일 발신자 확인이나 파일 출처 등을 점검하는 등 조금 더 조심할 필요가 있다”고 당부했다.
특히 악성코드에 감염되면 MS 워드를 이용할 때마다 악성코드가 담긴 파일이 생성될 수 있다는 우려도 제기됐다.
ESRC는 “(악성코드는) 감염된 맥 OS 사용자의 기존 ‘기본 서식 파일(normal.dotm)’의 교체를 시도한다”며 “이 파일이 교체되면 앞으로 사용자가 생성하는 문서에 바뀐 기본 서식이 적용되므로 ‘감염’ 효과를 낼 수 있다”고 설명했다.
MS 워드를 실행할 때 나오는 빈 문서 양식이 해커가 만든 파일로 교체될 수 있다는 이야기이다.
이에 대해 문 이사는 “ ‘기본 서식 파일’이 해커에 의해 교체된다면 추가적인 악성코드를 로딩하는 데 악용될 수 있다”며 “아직 파일이 확보되지 않아 조금 더 예의주시하고 지켜볼 필요성이 있다”고 말했다.
이어 문 이사는 “이번 파일은 해외에서 업로드된 것을 발견한 것이다”라면서 “국내에도 이용될 가능성이 있어 사용자들이 각별히 주의해야 한다”고 덧붙였다.