북한 추정 해킹 조직, 도쿄 패럴림픽 문서 위장 피싱 공격

북한 추정 해킹 조직 코니가 하계 패럴림픽 문서로 위장한 스피어피싱 공격을 시도했다. 사진은 피싱에 사용한 문서./ 사진=이스트시큐리티 제공

도쿄 하계 패럴림픽이 오는 8월로 예정된 가운데 김수키(Kimsuky)와 밀접하게 연결된 것으로 추정되는 해킹 조직 코니(Konni)가 관련 안내 문서 등으로 위장한 악성 파일을 퍼트리는 ‘스피어 피싱(Spear Phishing)’ 공격을 시도하고 있는 것으로 나타났다.

보안 전문기업 이스트시큐리티(ESRC) 17일 “대표적인 APT(지능형 지속위협) 공격 조직 중 하나인 ‘코니’의 스피어 피싱 공격 시도가 2020년 들어 새롭게 포착됐다”며 주의를 당부했다.

코니는 지난 2014년 한국수력원자력을 해킹한 북한 해킹조직 ‘김수키(Kimsuky)’와 밀접한 관련이 있는 것으로 알려졌다.

문종현 ESRC 이사는 “코니(Konni) 조직은 북한 관련 주제를 활용한 APT공격을 꾸준히 진행해왔다”면서 “2019년 코니와 김수키 조직 간의 공통점이 발견된 사례가 있었던 만큼 두 조직에 대한 지속적인 연구가 필요하다”고 설명했다.

이번에 공격에 사용된 문서가 러시아어로 작성된 점으로 미뤄보아 러시아와 관련한 정보를 취급하는 사람을 목표로 하는 것으로 보인다.

ESRC는 “(이번 공격에 사용된) 문서 파일은 2종으로 러시아어로 작성된 북한의 2020년 정책과 영어로 작성된 일본의 2020년 패럴림픽 관련 내용을 담고 있다”면서 “내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다”고 말했다.

이는 한국어 기반의 컴퓨터 환경에서 문서를 작성했다는 의미로 해커가 한국어에 능숙한 사람이란 것으로 해석된다.

또한, 코니는 북한에서 장애인 관련 사업을 지속해서 수행하고 있는 미국의 민간단체 킨슬러재단(Kinzler Foudation) 문서처럼 사칭해 공격을 수행했다.

ESRC는 “2020년 패럴림픽 관련 문서의 파일명은 실존하는 자선단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’이다”면서 “메일 수신자가 신뢰하고 문서를 열어보도록 유도하고 있다”고 전했다.

이어 업체는 “공격에 활용된 악성 매크로 코드는 과거 코니가 활용했던 매크로와 거의 유사하게 만들어졌다”면서 “악성 문서 파일 구조 역시 매우 흡사한 것으로 드러났다”고 덧붙였다.

그러면서 ESRC는 “공격자는 보안 탐지와 분석 등을 회피하기 위해 ‘커스텀 Base 64’ 코드 방식을 적용했다”면서 “이 역시 작년 9월 코니의 러시아-북한-한국 무역, 경제 관계 투자 문서’로 수행된 수법과 정확히 일치한다”고 덧붙였다.

코니는 지난해 9월뿐만 아니라 8월에도 러시아어로 제작된 ‘한반도 상황과 미국과 북한의 대화 전망’이란 문서로 공격을 수행한 바 있다.

한편, ESRC는 해커가 보낸 악성코드에 감염되면 PC가 원격조종 되는 등 2차 피해가 발생할 우려가 있다고 밝혔다.

ESRC는 “이메일을 수신한 사용자가 첨부된 러시아어 내용의 문서나 일본 패럴림픽 관련 내용에 속아 ‘콘텐츠 사용’ 버튼을 클릭하게 되면 정상적인 문서 내용을 보여줌과 동시에 악성코드가 은밀히 실행된다”면서 “공격자가 지정한 FTP 서버로 사용자 PC  시스템의 주요 정보를 업로드되고, 공격자의 추가 명령에 따라 원격제어나 화면 캡처 정보 등의 유출이 가능해진다”고 설명했다.