본문으로 바로가기
58423153 0112020022758423153 08 0802001 6.1.2-RELEASE 11 머니투데이 0 false true true false 1582793089000 1582793169000 이스트시큐리티 北 추정 해커 조직 코로나19 정보 위장 악성코드 유포 2002281231

北추정 해커, '코로나19' 업무메일 가장한 사이버 공격 시도

글자크기
[머니투데이 박계현 기자] [김수키 해킹그룹, 악성 이메일 유포…이스트시큐리티 "재택근무 시 더욱 주의"]

머니투데이

코로나19 바이러스 관련 이사장님 지시사항으로 사칭한 악성 이메일/사진제공=이스트시큐리티

<이미지를 클릭하시면 크게 보실 수 있습니다>



이스트시큐리티가 '김수키'(Kimsuky) 조직의 소행으로 추정되는 '코로나19' 바이러스 관련 업무 메일을 가장한 악성 이메일이 유포되고 있다고 27일 밝혔다.

김수키는 북한이 연루된 것으로 추측되는 해커 그룹이다. 주로 대북단체 및 외교안보 분야를 대상으로 공격을 감행한다

그간 △문정인 대통령 통일외교안보 특보 사칭 △대북 국책연구기관 사칭 스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 지속적으로 반복하고 있다.

새롭게 발견된 악성 이메일은 김수키 조직이 사회적 이슈인 '코로나19' 바이러스 확산 사태를 사이버 공격에 악용한 사례다.

악성 이메일은 한글로 내용이 작성됐으며 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 "이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포됐다"며 "코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명이 '코로나바이러스대응.doc'인 문서가 첨부됐다"고 설명했다.

수신자가 이 악성 문서 파일을 열람하면 공격자가 문서에 삽입한 악성 스크립트가 동작하고, 추가 악성코드가 다운로드된다.

추가로 다운로드된 악성코드는 '코로나바이러스감염증-19 대책 회의'라는 이름의 또 다른 한글 작성 문서를 띄워 사용자 의심을 던다. 사용자가 알아채지 못하는 사이 △PC 계정정보 △호스트 네임 △네트워크 속성 △사용 중인 프로그램 목록 △실행 중 프로세스 목록 등 각종 정보를 수집한다.

또 공격자로부터 추가 명령을 받을 수 있도록 윈도 작업 스케쥴러에 업데이트 프로그램으로 자기 자신을 등해, 3분 간격으로 실행하게 만드는 치밀함도 보였다.

문종현 ESRC 센터장은 "최근 재택근무를 채택하는 국내 기업·기관의 임직원들이 평소보다 이메일을 자주 열람할 가능성이 높다"며 "재택근무 시 VPN(가상사설망)을 통해 기업 내부망에 접속을 하고 있는 상황에선 더욱 외부 이메일이나 첨부파일을 열람하기 전 주의를 기울여야 한다"고 당부했다.

현재 이스트시큐리티의 보안솔루션인 '알약'에선 해당 악성코드를 탐지명 'Trojan.Downloader.DOC.Gen'으로 탐지 및 차단하고 있다. 상세 분석내용은 보안 인텔리전스 서비스 '쓰렛인사이드'(Threat Inside)를 통해 공개될 예정이다.

박계현 기자 unmblue@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.