전체기사 최신뉴스 GAM
KYD 디데이
산업 ICT

속보

더보기

[해킹 경보] 코로나19 '마스크' 관심 노린 APT 공격 발견

기사입력 : 2020년04월22일 10:13

최종수정 : 2020년04월22일 10:13

코니(Konni) 조직 소행 추정

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일이 발견돼 주의가 필요하다. 이 악성 문서를 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있다.

보안 전문 기업 이스트시큐리티은 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 '지능형 지속 공격(APT, Advanced Persistent Threat)' 공격 그룹 코니(Konni) 소행으로 추정된다고 22일 밝혔다.

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일.[제공=이스트시큐리티] 2020.04.22 swiss2pac@newspim.com

APT 공격 그룹 '코니'는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있으며, 이스트시큐리티 시큐리티대응센터(ESRC)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 '북한의 2020년 정책 문서', 그리고 '일본 2020년 패럴림픽 관련 자선단체 문서' 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

문종현 ESRC 센터장 이사는 "이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성되었고, 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정된다"며  "활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다"고 밝혔다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

만약 '콘텐츠 사용' 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

문 이사는 "코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다"며 "이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다"고 강조했다.

 

swiss2pac@newspim.com

[뉴스핌 베스트 기사]

사진
李대통령, 이시바 총리와 전화통화 [서울=뉴스핌] 이영태 선임기자 = 이재명 대통령은 9일 이시바 시게루(石破茂) 일본 총리와 25분간 취임 후 첫 전화통화를 갖고 성숙한 한일관계 구축에 의견을 같이했다. 강유정 대변인은 이날 오후 용산 대통령실 브리핑에서 "이 대통령은 9일 오후 이시바 시게루 일본 총리와 약 25분간 첫 통화를 가졌다"며 이같이 밝혔다. 이 대통령이 지난 4일 취임 이후 해외 정상과 전화 통화를 한 것은 지난 6일 도널드 트럼프 미국 대통령에 이어 이시바 총리가 두 번째다. 이재명 대통령이 9일 이시바 시게루(石破茂) 일본 총리와 취임 후 첫 전화통화를 갖고 있다. 2025.6.9 [사진=이재명 대통령 X] 먼저 이 대통령은 이시바 총리의 대통령 취임 축하에 사의를 표하고, 오늘날의 전략적 환경 속에서 한일관계의 중요성이 더욱 증대되고 있음을 강조했다. 아울러 "한일 양국이 상호 국익의 관점에서 미래의 도전과제에 같이 대응하고 상생할 수 있는 방향을 모색해 나갈 수 있기를 기대한다"고 말했다. 강 대변인은 "양 정상은 상호 존중과 신뢰, 책임 있는 자세를 바탕으로 보다 견고하고 성숙한 한일관계를 만들어 나가자는 데 의견을 모았다"며 "특히 한일 국교 정상화 60주년을 맞는 올해, 양국 국민들 간의 활발한 교류 흐름에 주목하면서 당국 간 의사소통도 더욱 강화해 나가자고 했다"고 전했다. 또한 "양 정상은 그간 한미일 협력의 성과를 평가하고, 앞으로도 한미일 협력의 틀 안에서 다양한 지정학적 위기에 대응해 나가기 위한 노력을 더해 나가자고 했다"고 부연했다. 양 정상은 향후 직접 만나 한일관계 발전 방향을 비롯한 상호관심사에 대해 심도있는 대화를 나누기로 했다. 이재명 대통령이 9일 이시바 시게루(石破茂) 일본 총리와 취임 후 첫 전화통화를 갖고 있다. 2025.6.9 [사진=이재명 대통령 X] 교도통신 등 일본 언론들도 이날 이 대통령과 이시바 총리가 첫 전화 통화를 했다고 일본 정부 관계자를 인용해 전했다. 일본 TBS뉴스에 따르면 이시바 총리는 이날 통화에서 "이 대통령과 한일, 한미일 협력을 활성화하고 싶다"는 의향을 전했다. 방송은 도널드 트럼프 미국 행정부의 관세정책 대응 등에 대해서도 양국 정상 간 의견이 오갔을 것으로 보인다고 보도했다. 앞서 이시바 총리는 지난 4일 기자들에게 이 대통령 취임과 관련해 "한국 민주주의의 결과이며 한국 국민의 선택에 경의를 표하고 당선과 취임을 축하드린다"고 밝힌 바 있다 이재명 정권 출범에 따른 셔틀외교 재개를 묻는 질문엔 "정부가 구성돼 기능할 수 있게 되면 한·일 정상회담을 가능한 조속히 하는 것이 좋다"고 말했다. 그는 또 올해가 한일 국교 정상화 60주년인 점을 언급하며 "이번 60주년을 계기로 이재명 대통령과 함께 한일 및 한미일 협력을 활성화하고 싶다. 이것이 (국교 정상화) 60주년의 큰 의의라고 생각한다"고 강조했다. medialyt@newspim.com 2025-06-09 14:09
사진
구름 많고 낮 더위...서울·경기 오전 소나기 [서울=뉴스핌] 박우진 기자 = 화요일 10일 전국은 대체로 구름이 많거나 흐리다가 낮에는 무더운 날씨가 나타나겠다. 중부지방과 충남은 오전 한때 소나기가 내리겠다. 기상청과 케이웨더에 따르면, 이날 전국은 서해상에 위치한 고기압의 가장자리에 들겠으나 제주도는 남쪽 해상을 지나는 기압골의 영향을 받겠다. 전국이 구름이 많거나 흐리겠다. 서울과 경기, 강원영서, 충남북부에는 오전 한때 소나기가 오겠다. 예상 강수량은 5~15mm다 아침 최저기온은 17~21도, 낮 최고기온은 22~33도가 되겠다. [서울=뉴스핌] 김학선 기자 = 봄비가 내린 22일 서울 여의도 국회 인근에서 우산을 쓴 시민들이 발걸음을 재촉하고 있다. 기상청은 이날 전국에서 봄비가 내리며 영남은 최대 80㎜, 수도권은 최대 50㎜에 달하는 많은 비가 내릴 것으로 예보했다. 2025.04.22 yooksa@newspim.com 지역별 아침 최저기온은 ▲서울 20도 ▲인천 15도 ▲춘천 18도 ▲강릉 22도 ▲대전 20도 ▲대구 20도 ▲부산 20도 ▲전주 19도 ▲광주 20도 ▲제주 19도다. 낮 최고기온은 ▲서울 26도 ▲인천 20도 ▲춘천 26도 ▲강릉 31도 ▲대전 29도 ▲대구 33도 ▲부산 26도 ▲전주 30도 ▲광주 29도 ▲제주 26도다. 미세먼지 농도는 오전에 세종, 대전, 충북에서 '한때 나쁨'을 기록하겠고, 그 밖의 지역은 '보통'을 나타내겠다. 오후에는 전국이 '보통'이다. 바다의 물결은 동해상에서 0.5~1.5m, 서해와 남해상에서 0.5~1.5m로 일겠다. krawjp@newspim.com 2025-06-10 06:22
안다쇼핑
Top으로 이동