이스트시큐리티는 지능형 지속위협(APT) 공격 조직 중 하나인 ‘코니’의 스피어피싱 공격 시도가 올해 들어 새롭게 포착됐다고 17일 밝혔다. 이번에 발견된 APT 공격은 이메일에 악성 문서파일을 첨부하는 방식을 사용한 것으로 추정된다.
공격에 활용된 악성 문서파일 2종은 파일을 저장한 사람의 이름이 ‘Georgy Toloraya’로 동일하며, 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다. 또 문서파일은 러시아어로 작성돼있으며, 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용을 담고 있다.
특히 일본 2020년 패럴림픽 관련 문서의 파일명은 실존하는 자선 단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’로, 메일 수신자가 신뢰하고 문서를 열어보도록 유도하고 있다.
공격에 활용된 악성 매크로 코드는 과거 코니 조직이 활용했던 매크로와 거의 유사하게 만들어졌으며, 악성 문서 파일 구조도 매우 흡사한 것으로 드러났다.
만약 이메일을 수신한 사용자가 첨부된 러시아어 내용의 문서나 일본 패럴림픽 관련 내용의 ‘콘텐츠 사용’ 버튼을 클릭하면 문서 내용을 보여줌과 동시에 악성코드가 실행된다. 악성코드에 감염되면 공격자가 임의로 지정한 서버로 사용자 PC 시스템의 주요 정보를 업로드하고, 공격자의 추가 명령에 따라 원격제어가 가능해지는 등 2차 피해로 이어질 수 있다.
문종현 이스트시큐리티 이사는 “북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져왔다”면서 “새해에도 코니 조직의 활동이 새롭게 포착된 만큼 집중 모니터링을 강화하고 있다”고 말했다.
/백주원기자 jwpaik@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
