 |
| 러시아어로 2020년 동경 패럴림픽과 북한의 2020년 정책 관련 내용을 위장한 문서 화면.(사진=이스트시큐리티 제공) |
이스트시큐리티는 해당 공격이 대표적인 APT(지능형 지속위협) 조직 중에 하나인 ‘코니’(Konni)의 공격으로 분류했다. 코니 공격은 올해 처음으로 포착됐다.
해당 공격은 이메일에 악성 DOC 문서 파일을 첨부하는 방식을 사용했다. 악성 문서 2종이 첨부됐으며 문서 파일을 저장한 사람의 이름은 ‘Georgy Toloraya’로 동일하다. 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다.
문서는 러시아어로 작성됐다. 2020년 패럼림픽 관련 문서의 파일명은 실존하는 자선 단체인 ‘Kinzler Foundation’을 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’로 적혔다.
공격에 활용된 악성 매크로 코드는 과거 코니 조직이 활용했던 매크로와 유사하며, 악성 문서 파일 구조도 흡사한 것으로 보고 있다.
만약 이메일을 수신한 사용자가 첨부된 러시아어 내용의 문서나 패럴림픽 관련 내용을 무심코 눌러 파일을 실행하면 즉각 내부에 포함된 VBA 코드가 활성화되면서 악성코드가 실행된다.
악성코드에 감염되면 사용자 PC 시스템의 주요 정보가 해커에게 탈취당하며, 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어진다.
이스트시큐리티 보안 대응 전문 조직인 ESRC의 문종현 이사는 “지난해 코니와 김수키(Kimsuky) 조직의 공통점이 발견된 만큼 두 조직에 대한 지속적인 연구가 필요하다”며 “북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어졌고 올해도 코니 활동이 새롭게 포착돼 앞으로 집중 모니터링을 강화하고 변종 대응을 철저히 진행할 것”이라고 말했다.
김상우 기자 ksw@viva100.com
기자의 다른기사보기 >
