코로나19 사태를 악용한 이메일 공격이 연일 기승을 부린다. 이번엔 북한 해킹 조직인 ‘김수키’로 추정되는 세력이 사이버 공격을 시도했다. 보안전문가들은 출처가 불분명한 이메일과 첨부 파일을 열람을 지양하라고 조언한다.

보안 기업 이스트시큐리티는 김수키(Kimsuky) 조직 소행으로 보이는 코로나19(신종 코로나바이러스 감염증) 관련 악성 문서가 담긴 이메일 공격을 발견했다고 27일 밝혔다.

지역별 코로나19 현황을 정리한 것처럼 보이는 문서 파일. 실제 열어볼 경우 PC가 악성코드에 감염된다. / 이스트시큐리티 제공
지역별 코로나19 현황을 정리한 것처럼 보이는 문서 파일. 실제 열어볼 경우 PC가 악성코드에 감염된다. / 이스트시큐리티 제공
김수키 조직은 북한 정부가 배후로 추정된다. 그간 문정인 통일외교안보특보대북 국책연구기관을 사칭한 사이버 공격으로 논란을 빚었다.

이번 공격은 마이크로소프트 워드(MS Word) 문서 형태의 악성 파일을 이메일에 첨부했다. 문정인 특보 발표 자료 때 사용한 문서 파일 변종이다. 해당 파일 이름은 ‘코로나바이러스 대응.doc'다. 코로나바이러스감염증-19 대책 회의라는 제목으로 시작해 지역별 코로나19 현황을 정리한 내용이 한글로 담겼다.

수신자가 해당 문서를 열람하면 순간 악성코드를 자동으로 내려받는다. 이 때 해커는 원격 서버로 PC 계정 정보부터 호스트 네임, 네트워크 속성, 사용하는 프로그램 목록, 실행 중인 프로세스 목록 등 다수 정보를 수집한다. 특히 해커는 수신자 PC 윈도(Window) 작업 스케줄러 상 업데이트 프로그램을 변경해 3분 간격으로 수신자 PC 상태를 확인할 수 있도록 조치하는 치밀함을 보였다.


메일을 열어봤을 때 보이는 내용이다. 관계사인 것처럼 사칭해 첨부파일을 열어보도록 유도한다. / 이스트시큐리티 제공
메일을 열어봤을 때 보이는 내용이다. 관계사인 것처럼 사칭해 첨부파일을 열어보도록 유도한다. / 이스트시큐리티 제공
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "국제 교류 관련 기관 종사자를 대상으로 해당 이메일이 유포된 것으로 보인다"며 "최근 코로나19 사태로 다수 기업과 공공기관이 재택근무에 돌입한 걸 노린 것으로 추정되는 만큼 이메일 열람을 더 자주 할 가능성이 높기에 (이같은 공격에) 주의해야 한다"고 조언했다. 이어 "재택근무 시 가상사설망(VPN) 등으로 기업 내부망에 접속하고 있는 상황인 점도 주의를 기울여야 하는 이유다"고 덧붙였다.

키워드