"스피어피싱 주의보"…日 패럴림픽 가면 쓴 '코니'

김평화 기자
입력 2020.01.17 16:03 수정 2020.01.17 16:06
새해부터 스피어 피싱을 활용한 사이버 공격이 발생했다. 이번엔 일본 패럴림픽 자선 단체를 사칭했다는 내용이다.

보안 기업 이스트시큐리티는 지능형지속위협(APT) 공격 조직인 ‘코니(Konni)’의 스피어 피싱(Spear Phishing) 공격 시도가 올해 새롭게 포착돼 주의를 요한다고 17일 밝혔다.

APT는 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하는 방식을 말한다. 스피어 피싱은 악성 코드나 링크가 담긴 파일을 첨부한 이메일을 표적 대상에 발송해 사이버 공격을 시도하는 것을 일컫는다.

2020년 일본 패럴림픽과 북한의 새해 정책 내용을 러시아어로 위장한 문서 화면. / 이스트시큐리티 제공
이번 공격은 이메일에 악성 워드(DOC) 문서 파일을 첨부하는 방식을 이용했다. 스피어 피싱에 사용된 악성 문서 2종은 각각 14일과 15일에 작성된 것으로 드러났다.

해당 파일 2종은 파일 저장자 이름이 ‘조지 톨로라야(Georgy Toloraya)’로 같다. 내부 코드 페이지는 한국어로 제작됐다. 파일 세부 내용은 러시아어로 작성돼 있으며 북한의 2020년 정책과 일본의 2020년 패럴림픽 내용을 담았다.

특히 2020년 일본 패럼림픽 문서의 파일명은 실존하는 자선 단체명인 ‘킨즐러 파운데이션(Kinzler Foundation)’을 포함해 메일 수신자가 신뢰하고 문서를 열어보도록 유도했다. 전체 파일명은 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’이다.

만약 이메일을 수신한 사용자가 첨부 파일이나 일본 패럴림픽 내용에 속아 '콘텐츠 사용' 버튼을 누르면 내부에 포함된 악성 코드가 활성화한다. 정상적인 문서 내용을 보여주는 것처럼 보이지만 뒷단에는 악성코드가 실행된다.

악성코드에 감염되면 공격자가 임의 지정한 서버로 사용자 PC 시스템의 주요 정보가 넘어간다. 공격자의 추가 명령에 따라 원격 제어가 가능한 PC 감염이 연달아 발생할 수 있어 2차 피해가 예상된다.

이스트시큐리티는 이번 공격에 활용된 악성 매크로 코드와 문서 파일 구조가 과거 코니 조직의 방식과 유사하다고 분석했다. 보안 탐지와 분석을 회피하고자 특정 코드 방식(커스텀 Base64)을 적용한 점도 작년 코니 그룹이 여러 차례 시도한 수법과 정확히 일치한다는 게 회사 설명이다.

코니는 북한 배후의 사이버 해킹 조직 ‘김수키(kimsuky)’ 그룹과 밀접한 연관이 있는 해커 집단이다. 수년간 여러 사이버 공격을 시도하는 곳이다. 2019년 9월 남・북・러 무역과 경제 관계를 담은 투자 문서를 사칭해 악성 파일을 유포하기도 했다.

이스트시큐리티 보안 대응 전문 조직(ESRC)을 이끄는 문종현 이사는 "2019년 코니와 김수키(Kimsuky) 조직간의 공통점이 발견된 사례가 있었다. 두 조직을 지속해서 연구해야 한다"며 "북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져 왔다. 올해도 코니 조직의 활동이 새롭게 포착된 만큼 집중 모니터링을 하고 변종에 철저히 대응해야 한다"고 말했다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기