보안 기업 이스트시큐리티(대표 정상원)는 미국 내 북한 문제 전문가 포럼 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견됐다고 29일 밝혔다.
발견된 악성 파일은 MS워드 DOC 문서 형태를 취하고 있다. 파일명은 ‘My Interview on COVID-19 with NCNK.doc’로 지난 26일 제작됐다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 기법이 특정 정부가 연계된 것으로 알려진 해킹 그룹 일명 ‘김수키’가 사용한 지능형지속위협(APT) 공격과 동일하다고 분석했다. 최근 APT 공격에서 DOC 문서 자체 취약점이 아닌 정상 기능인 ‘매크로’를 악용한 악성 문서 파일을 이메일에 첨부해 유포하는 방법이 주로 사용되고 있으며, 이번 공격도 같은 수법이 사용됐다는 것.
이번 공격에 사용된 악성 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있다. 이에 대해 ESRC는 실제 NCNK 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 판단했다.
이메일 수신자가 이러한 내용에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서 화면처럼 위장된 문서가 나타나고, 문서 확인을 위해 상단에 보이는 매크로 버튼 클릭을 유도한다.
만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 해커가 지정한 서버로 접속해 추가 명령을 수행한다. 마이크로소프트의 클라우드 스토리지 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거를 등록하고, 3분마다 한국 소재 특정 교육원 서버로 접속을 시도한다.
해당 명령 제어(C2) 서버와 정상적 통신이 이뤄지면 PHP 명령을 수행하는데, 이는 기존 김수키 공격과 동일한 모습을 보였다는 분석이다. 이후 C2 서버 명령을 통해 감염된 PC의 각종 정보를 탈취한다.
특히 이번 공격은 윈도 작업 스케줄러 예약을 통해 악성 파일을 사용자 PC에 저장하지 않는 '파일리스' 기법처럼 작동해 악성 코드 감염 여부를 신속히 탐지하거나 식별하기 어렵다.
ESRC는 기존 유사 사례에 비춰볼 때 향후 공격자는 감염된 PC를 선별해 악성 파일을 추가로 설치할 가능성이 있으며, 이는 기업이나 기관 내부의 다양한 추가 피해로 이어질 수 있다고 우려했다.
관련기사
- '코로나19 대응 사항' 사칭 악성 메일 발견2020.05.29
- 대북·외교 교육원 경력자 '주민등록등본' 사칭 악성파일 발견2020.05.29
- '통일연구원' 사칭 악성메일 발견2020.05.29
- "해커그룹 '코니', 남·북·러 무역 문서 사칭 악성파일 유포"2020.05.29
문종현 ESRC 센터장 이사는 “김수키 조직은 수년간 한국을 상대로 APT 공격을 수행할 때 주로 HWP 문서 취약점을 널리 사용했는데, 최근에는 DOC 악성 문서 파일도 공격에 적극적으로 활용하고 있다”며 “만약 이메일이나 SNS 메신저 등으로 전달받은 DOC 문서를 열어볼 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 무심코 콘텐츠 사용 버튼을 눌러서는 절대 안 된다”고 말했다.
또한 “대북 분야에서 활동하는 여러 인사가 김수키 조직의 주요 APT 위협 대상이며, 특히 코로나19 바이러스 정국을 공격 키워드로 현혹하는 점도 명심해야 한다”며, ‘최근 외교, 안보 및 대북 분야 종사자를 겨냥한 공격 정황이 꾸준히 포착되고 있는 만큼, 유사한 위협에 노출되지 않도록 관계자들의 각별한 보안 수칙 준수 노력이 요구된다”고 당부했다.