악성 워드 문서 열면 PC 좀비화 진행
유명 해커 집단 ‘김수키 조직’ 소행으로 추정
[헤럴드경제=김민지 기자] 정부 발표 문서를 사칭한 피싱 공격이 발견돼 사용자의 주의가 요구되고 있다. 이번 공격은 특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 소행으로 추정된다.
14일 보안 전문 기업 이스트시큐리티는 ‘통일외교안보특보 세미나 발표 문서’를 사칭해 특정 관계자의 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견됐다고 밝혔다.
이번 공격에 사용된 악성 문서 파일의 제목은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’ 이다. 해당 문서는 지난 6일(현지 시간) 진행된 미 워싱턴DC 국익연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등을 담고 있다. 이번 공격은 공격자가 마치 해당 세미나 내용인 것처럼 위장해 APT(지능형지속위협) 공격을 수행한 것으로 판단된다. APT란 조직이나 기업을 표적으로 정한 뒤 장기간에 걸쳐 다양한 수단을 총동원하는 지능적 해킹 방식이다.
해당 악성 DOC 문서 파일을 열면 MS워드 프로그램 상단에 보안 경고창이 나타나며, 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타난다.
만약 수신자가 세미나 발표 자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 해당 PC에 추가 악성코드가 설치된다. 또한 공격자가 사용자 PC의 ▲시스템 정보, ▲최근 실행 목록, ▲실행 프로그램 리스트 등 다양한 정보를 수집해, 사용자 PC는 이른바 ‘좀비 PC’가 된다.
좀비 PC 상태가 되면 공격자가 원격 제어 등을 통해 언제든 추가 악성 행위를 시도할 수 있어, 2차 피해로 이어질 가능성이 높다.
이번 공격은 여러차례 정부 문서를 사칭하며 비슷한 수법으로 공격을 진행한 바 있는 김수키(Kimsuky) 조직의 소행으로 추정된다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 “이번 공격은 2019년 4월에 공개된 바 있는 한·미 겨냥 APT 캠페인 ‘스모크 스크린’의 사이버 위협 연장선의 일환으로, HTA 악성 스크립트를 통해 은밀하게 1차 침투를 수행한다”며 “김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해, 해당 조직의 소행으로 추정된다”라고 밝혔다.
지난해 10월에는 김수키 조직으로 추정되는 동일한 APT 공격자가 북한 난민 구출요청처럼 위장한 내용으로 스피어 피싱 공격을 수행한 적도 있다. 이 공격에 사용된 악성 문서 파일의 작성자 계정은 이번 공격에 사용된 것과 동일한 것으로 분석됐다.
현재 ESRC에서는 피해 방지를 위해 공격에 사용된 악성 파일을 면밀히 분석하고 있다. 추가 분석이 완료되면 분석 내용을 자사의 인공지능 기반 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’와 알약 공식 블로그(https://blog.alyac.co.kr)를 통해 공개할 예정이다.
jakmeen@heraldcorp.com