코로나19 관련 전미북한위원회 인터뷰 사칭 문서 주의

통합 보안 기업 이스트시큐리티는 미국 북한 문제 전문가 포럼인 전미북한위원회(NCNK)의 신종 코로나바이러스 감염증(코로나19) 관련 인터뷰 문서 사칭 파일이 발견돼 주의가 필요하다고 29일 밝혔다.

미국 북한 문제 전문가 포럼인 전미북한위원회(NCNK)의 신종 코로나바이러스 감염증(코로나19) 관련 인터뷰 문서를 사칭한 파일 모습 / 이스트시큐리티

이번에 발견된 사칭 파일은 MS워드 문서 형식이다. 파일명은 ‘코로나19 관련 NCNK와의 인터뷰(My Interview on COVID-19 with NCNK.doc)’로 5월 26일 제작됐다. 북한의 코로나19 확산 상황과 국제 비영리기구(NGO) 단체의 지원 여부 등이 담겼다. 실제 NCNK 공식 홈페이지에 게재된 내용을 무단으로 도용했다.

이메일 수신자가 내용에 현혹돼 악성 파일을 열면 보호된 문서인 것처럼 보안 경고가 나타난다. 화면 상단에 ‘콘텐츠 사용’ 버튼을 눌러야 내용을 볼 수 있어 해당 매크로 버튼을 누를 수밖에 없다. 이 경우 악성 매크로가 실행돼 해커가 지정한 서버로 접속된 후 컴퓨터가 추가 명령을 수행하게 된다. 윈도(Windows) 작업 스케줄러에 악성 트리거(Trigger)도 등록돼 3분마다 한국 소재 특정 교육원 서버로 접속을 시도하게 된다.

이같은 공격은 스피어피싱 수법과 유사하다. 악성코드나 링크가 담긴 파일을 이메일에 첨부해 표적 대상에 발송하는 사이버 공격을 말한다. 문서 자체 취약점이 아닌 정상적인 매크로 기능을 악용했다.

윈도 작업 스케줄러 예약을 통하면 사용자 PC에 악성 파일을 저장하지 않아도 되는 파일리스(Fileless) 특성도 보여 악성 코드 감염 여부를 탐지하기가 어렵다. 공격자가 향후 좀비 PC를 선별해 원격제어(RAT) 등의 악성 파일을 추가로 설치하는 등 2차 피해가 발생할 수 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격 배후로 ‘김수키(Kimsuky)’ 조직을 지목했다. 김수키 조직의 지능형지속위협(APT) 공격 유형과 동일하다는 분석이다. 김수키 조직은 북한 정부의 지원을 받는 해킹 조직이다.

문종현 이스트시큐리티 ESRC 센터장은 "만약 이메일이나 소셜미디어 메신저 등으로 전달 받은 워드 문서를 열어볼 때 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 버튼을 눌러서는 안 된다"며 "최근 김수키 조직이 외교·안보 및 대북 분야 종사자를 겨냥한 공격을 진행하는 만큼 유사 위협에 노출되지 않도록 관계자의 각별한 보안 수칙 준수 노력이 필요하다"고 당부했다.

김평화 기자 peaceit@chosunbiz.com