[아이뉴스24 김국배 기자] 북한과 연계된 것으로 추정되는 해킹 조직이 신종 코로나바이러스 감염증(코로나19) 관련 내용을 가장해 '스피어 피싱' 공격을 감행한 정황이 포착됐다.
코로나19 사태를 악용한 북한 해킹 조직의 공격이 발견된 건 이번이 처음이다. 2014년 한국수력원자력을 해킹한 '김수키' 조직이 배후로 지목됐다.
27일 보안업체 이스트시큐리티에 따르면 '코로나바이러스 대응'이라는 제목의 악성 문서 파일을 첨부한 이메일이 국내에 유포됐다. 국제교류 관련 기관 종사자를 타깃으로 삼은 것으로 확인됐다.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/202002/1568599355205_2_164821.jpg)
메일 본문에는 '코로나19 관련 이사장님 지시사항을 송부드립니다'라는 문구가 포함돼 있다. 코로나19 감염 피해 예방을 위해 각종 공지가 많이 전달되고 있는 상황을 악용한 것으로 보인다.
만약 수신자가 첨부 파일을 실행하면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 다운로드한다.
추가로 다운로드된 악성코드는 '코로나바이러스감염증-19 대책회의'라는 이름의 또 다른 한글 문서를 띄워 의심을 더는 동시에 사용자가 알아채지 못하게 PC 계정정보, 호스트 네임, 네트워크 속성, 사용중인 프로그램 목록, 실행중 프로세스 목록 등 각종 정보를 수집한다.
또한 공격자로부터 추가 명령을 받을 수 있도록 윈도 작업 스케줄러에 업데이트 프로그램으로 등록해 3분 간격으로 실행하도록 만드는 치밀함까지 보였다.
![[자료=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202002/1582789473532_1_164713.jpg)
이번 공격은 '김수키' 조직의 소행으로 추정된다. 악성코드 제작 기법, 공격 수법 등이 대부분 유사하다.
이번에 발견된 악성코드 역시 지난달 미국 워싱턴DC에서 열린 '2020년 대북전망' 세미나에 참석한 문정인 대통령 통일외교안보특별보좌관의 강연 문서를 사칭한 공격 당시 사용된 악성코드의 변종으로 분석됐다.
문종현 이스트시큐리티 이사는 "최근 코로나19 피해를 예방하는 차원에서 재택근무를 많이 채택하는 국내 기업, 기관의 임직원들이 평소보다 이메일을 자주 열람할 가능성이 높다"며 "재택근무 시 가상사설망(VPN)을 통해 기업 내부망에 접속하고 있는 상황에서는 더욱 외부 이메일이나 첨부파일을 열기 전 주의를 기울여야 한다"고 지적했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기