신종 코로나 바이러스 감염증(코로나19) 예방책으로 마스크가 주목받으면서 전 세계적으로 품귀현상을 빚는 가운데 이를 매개로 한 피싱 공격이 발견돼 주의가 요구된다.
이스트시큐리티(ESRC)는 22일 “마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있다”며 “이 문서는 특정 정부 후원을 받는 것으로 추정되는 APT(지능형지속위협) 공격 그룹 코니(Konni)의 소행으로 추정된다”고 밝혔다.
코니는 2014년 전후부터 주로 북한 관련 내용을 매개로 스피어피싱(Spear Phishing) 공격을 해 왔다. 올해에는 러시아어로 작성된 ‘북한의 2020년 정책 문서’, ‘일본 2020년 패럴림픽 관련 자선단체 문서’ 와 ‘Keep an eye on North Korean Cyber’라는 악성 doc 문서를 활용한 공격 등을 진행한 바 있다.
특히 국내 보안 업체들은 코니가 북한 해킹 조직으로 알려진 김수키(Kimsuky)와 밀접한 관련이 있다고 평가하고 있다. 이에 코니를 지원하는 특정 정부가 북한일 가능성이 제기되고 있다.
문종현 ESRC 이사는 “코니 조직은 국내외 특정 조직을 표적으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다”며 “이 조직은 표적이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다”고 강조했다.
사용자들의 관심 주제를 활용해 피싱 공격을 하기 때문에 이메일을 보거나 문서 등을 실행할 때 주의 깊게 살펴봐야 한다는 이야기이다.
이번에 발견된 코니의 악성 파일 역시 코로나19로 인해 사람들의 이목이 마스크에 쏠려 있는 점을 노린 피싱 공격으로 나타났다.
ESRC에 따르면, ‘guidance’라는 파일명의 이 악성 문서는 최초 실행 시 문서 내용이 제대로 보이지 않지만, 상단에 표시되는 ‘콘텐츠 사용’ 버튼을 누르면 마스크 관련 내용이 나타난다. 이는 해커가 악성 코드를 실행시키기 위해 사용자의 행동을 유도한 것이다. 여기에 해커는 공격 대상자가 악성코드 감염에 여부에 대한 의심을 하지 않게 하기 위해 실제 관련 문서 내용을 보여주는 치밀함도 보이고 있다.
사용자가 ‘콘텐츠 사용하기’를 누르면 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일이 실행된다. 이후 공격자의 명령 제어(이하 C2) 서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치된다.
악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.
이후 해커는 대상자의 컴퓨터 사용환경, 문서 파일 등을 통해 사용자를 프로파일링해 추가 공격을 하거나 새로운 공격 대상을 물색한다. 악성코드에 감염될 경우 본인뿐만 아니라 주위 사람들까지 피해를 볼 우려가 있다.
전문가들은 일반적으로 해커가 기존 프로그램의 취약점을 이용해 공격하는 만큼 워드, 한글 등 각종 프로그램을 항상 최신 업데이트 상태로 유지하는 것이 예방에 도움이 된다고 말하고 있다. 여기에 지인이 보낸 이메일이나 문서 파일일지라도 한 번 더 꼼꼼하게 확인해보는 습관이 중요하다고 강조하고 있다.
