북한의 신종 코로나바이러스 감염증(코로나19) 상황에 대한 인터뷰 문서로 위장한 악성 파일이 발견돼 주의가 요구된다.
이스트시큐리티는 29일 “북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA)’의 코로나19 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견됐다”며 “이번 공격의 기법이 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격과 동일하다”고 밝혔다.
김수키는 지난 2014년 한국수력원자력을 공격한 북한의 해킹조직이다.
이스트시큐리티 ESRC는 ““발견된 악성 파일은 MS워드(MS-Word)의 DOC 문서 형식이며, 파일명은 ‘My Interview on COVID-19 with NCNK.doc’이다”며 “해당 문서는 실제 NCNK 공식 홈페이지에 등록된 문서로 해커가 신뢰도를 높이기 위해 해당 자료를 도용한 것으로 보인다”고 설명했다.
실제 해당 기관에서 만든 문서를 교묘하게 조작해 악성 파일로 바꿔 공격 대상자의 의심을 피하기 위한 해커의 전략이다.
이메일 수신자가 이에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서가 나타난다. 이는 해커가 상단의 매크로 버튼을 누르게 하기 위해 조작한 것으로, 클릭하면 악성 매크로가 실행되는 구조다.
악성 매크로를 실행되면 해커가 지정한 서버로 접속해 추가 명령을 수행한다. 여기에 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 무한 반복으로 한국 소재 특정 교육원 서버로 접속을 시도한다.
여기서 트리거는 총의 방아쇠를 뜻하는 말로 프로그램에서는 특정 동작에 반응해 자동으로 지정된 동작을 수행하는 것을 의미한다. 워드 문서의 악성 매크로를 실행하면 자신도 모르는 사이 본인의 컴퓨터가 좀비 PC가 돼 다른 서버를 공격하게 된다는 의미이다.
여기에 해커가 추가로 악성 파일을 추가로 설치할 수 있어 제2의 피해가 발생할 가능성도 높다.
문종현 ESRC이사는 “김수키 조직은 수년간 한국을 상대로 APT 공격을 수행할 때 주로 HWP 문서 취약점을 널리 사용했는데, 최근에는 DOC 악성 문서 파일도 공격에 적극적으로 활용하고 있다”며 “만약 이메일이나 SNS 메신저 등으로 전달받은 DOC 문서를 오픈할 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 무심코 콘텐츠 사용 버튼을 눌러서는 절대 안 된다”고 강조했다.
그러면서 문 이사는 “대북 분야에서 활동하는 여러 인사가 김수키 조직의 주요 APT 위협 대상이며, 특히 코로나19 바이러스 정국을 공격 키워드로 현혹하는 점도 명심해야 한다”며, ‘최근 외교·안보 및 대북 분야 종사자를 겨냥한 공격 정황이 꾸준히 포착되고 있는 만큼, 유사한 위협에 노출되지 않도록 관계자들의 각별한 보안 수칙 준수 노력이 요구된다”고 당부했다.
