코로나19(신종 코로나바이러스 감염증) 사태를 악용해 이메일 공격을 시도했던 북한 배후 추정 김수키(Kimsuky) 해킹 조직이 이번엔 스티븐 비건 미국 국무부 부장관 서신을 사칭해 불특정 다수를 공격했던 정황이 포착됐다.

이스트시큐리티 시큐리티대응센터(ESRC)는 3일 자사 블로그에 "김수키 조직이 스티븐 비건 미 국무부 부장관 서신을 사칭한 스피어 피싱(Spear Phishing) 공격을 벌인 정황을 발견했다"고 밝혔다. 스피어 피싱은 악성코드나 링크가 담긴 파일을 이메일에 첨부해 표적 대상에 발송하는 사이버 공격을 말한다.

김수키 조직이 사이버 공격에 이용한 문서 파일. / 이스트시큐리티 블로그 갈무리
김수키 조직이 사이버 공격에 이용한 문서 파일. / 이스트시큐리티 블로그 갈무리
ESRC에 따르면 김수키 조직은 마이크로소프트 워드(MS Word) 문서 형태의 파일을 범행에 이용했다. 문서 이름은 ‘비건 미국무부 부장관 서신 20200302.doc’다. 영어로 작성한 문서는 최근 북미 정세를 정리한 내용을 담았다.

PC 사용자가 해당 문서를 실행하면 내용을 볼 수 없는 상태에서 화면 상단에 보안 경고창이 뜬다. 노란색 띠 모양 경고창으로 ‘콘텐츠 사용' 버튼을 누르도록 유도한다. 이 버튼을 누르면 악성코드가 실행돼 공격자가 연쇄적으로 PC 정보를 수집, 탈취한다.

추가 파일 다운로드와 키로깅 스파이 기능도 활성화한다. 키로깅 스파이는 사용자가 입력한 키보드 내용을 저장해 유출하는 수법을 지칭한다. 사용자 주요 개인정보가 빠져나가는 피해로 이어진다는 게 ERSC 설명이다.

콘텐츠 사용 버튼을 누르면 보이는 문서 내용. 북미 정세를 정리한 일반 문서처럼 보인다. / 이스트시큐리티 블로그 갈무리
콘텐츠 사용 버튼을 누르면 보이는 문서 내용. 북미 정세를 정리한 일반 문서처럼 보인다. / 이스트시큐리티 블로그 갈무리
ESRC는 "해당 악성 파일을 분석한 결과 김수키 조직의 과거 사이버 공격과 유사했다"며 "최근 APT 조직인 김수키가 한국을 포함해 다수 국가를 상대로 위협을 지속하고 있다"고 분석했다. APT란 지능형지속공격을 말한다. 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하는 방식이다.

키워드