전체기사 최신뉴스 GAM
KYD 디데이

[해킹 경보] 코로나19 '마스크' 관심 노린 APT 공격 발견

기사입력 : 2020년04월22일 10:13

최종수정 : 2020년04월22일 10:13

코니(Konni) 조직 소행 추정

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일이 발견돼 주의가 필요하다. 이 악성 문서를 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있다.

보안 전문 기업 이스트시큐리티은 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 '지능형 지속 공격(APT, Advanced Persistent Threat)' 공격 그룹 코니(Konni) 소행으로 추정된다고 22일 밝혔다.

[서울=뉴스핌] 김지완 기자 = 마스크 관련 정보 문서로 위장한 악성 문서 파일.[제공=이스트시큐리티] 2020.04.22 swiss2pac@newspim.com

APT 공격 그룹 '코니'는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있으며, 이스트시큐리티 시큐리티대응센터(ESRC)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 '북한의 2020년 정책 문서', 그리고 '일본 2020년 패럴림픽 관련 자선단체 문서' 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

문종현 ESRC 센터장 이사는 "이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성되었고, 한국어 기반의 시스템 환경에서 4월 21일에 생성된 것으로 추정된다"며  "활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다"고 밝혔다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.

만약 '콘텐츠 사용' 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도 수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

문 이사는 "코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다"며 "이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다"고 강조했다.

 

swiss2pac@newspim.com

[뉴스핌 베스트 기사]

사진
돌연 취소된 '2+2 통상협상' 왜? [세종 = 뉴스핌] 김범주 기자 = 25일(현지 시각) 미국 현지에서 열릴 예정이었던 '한미 2+2 재무·통상 협의'가 돌연 취소된 배경에 관심이 모아지고 있다. 미국 측이 한국 대표단에 '양해'의 뜻을 여러 차례 표명했다는 것이 우리 정부의 설명이지만, 외교상 결례에도 불구하고 협의를 미뤄야 했던 배경에는 한국 협상단을 길들이겠다는 의도가 있는 것 아니냐는 해석이 나온다. [영종도=뉴스핌] 김학선 기자 = 미국 측 요청으로 한미 2+2 통상 협의가 연기된 24일 구윤철 부총리 겸 기획재정부장관이 출국 직전 취소 소식을 듣고 인천공항 2터미널을 나서고 있다. 2025.07.24 yooksa@newspim.com 24일 기획재정부에 따르면 구윤철 부총리 겸 기재부 장관은 이날 오전 9시경 이메일로 미국 측으로부터 협의 취소를 통보 받았다. 이날 오전 구 부총리는 협의를 위해 미국으로 출발할 예정이었다. 당시 인천공항 대기실에 있었던 것으로 파악됐다. 기재부는 이 같은 사실을 오전 9시 30분께 언론에 공개했고, 구 부총리는 정부 관계자들과 함께 오전 9시 50분께 공항을 빠져나갔다. 이날 회의가 취소가 된 배경에 대해 기재부 측은 "스콧 베선트 재무장관의 긴급한 일정 때문이었다"고 설명했다. 다만 '긴급한 일정'에 대한 설명은 없었던 것으로 파악됐다. 미국 측이 이메일을 통해 여러 차례에 걸쳐 사과 의사를 밝혔지만, 협상 관련 구체적 일정은 확정하지 않았다는 설명이다. 김정관 산업통상자원부 장관, 여한구 통상교섭본부장의 미국과의 협상은 예정대로 진행된다. 김 장관은 크리스 라이트 에너지장관 등을, 여 본부장은 제이미스 그리어 무역대표부(USTR) 대표와 각각 만난다. 하지만 양국 경제·통상 수장이 구체적 이유 없이 협의를 돌연 취소한 배경으로 한미간 협상이 난항을 겪은 것 아니니냐는 해석이 나온다. 앞서 지난 20일 미국으로 출국한 위성락 대통령실 국가안보실장은 이날 오후 귀국할 예정이지만, 고위급 협상에 진전이 없었던 것 아니냐는 관측도 나온다. 한국 정부는 1000억달러(약137조원) 규모의 미국 현지 투자 계획을 미국 정부에 제안할 예정인 것으로 전해졌다. 한국보다 먼저 관세협상을 타결한 일본 사례를 참고해 짠 전략으로 풀이된다. 일본은 5500억달러(약 757조원) 규모의 투자 펀드를 약속하고 미국과의 상호관세 15%부과에 합의했다. [영종도=뉴스핌] 김학선 기자 = 미국 측 요청으로 한미 2+2 통상 협의가 연기된 24일 구윤철 부총리 겸 기획재정부 장관이 출국 직전 취소 소식을 듣고 인천공항 2터미널을 나서고 있다. 2025.07.24 yooksa@newspim.com 다만 한국 정부가 제시할 투자 규모에 미국 정부가 만족할지 여부는 미지수다. 댄 스커비노 백악관 부비서실장이 최근 소셜미디어(SNS) 엑스(옛 트위터)에 공개한 일본 대표단과의 협상 사진을 살펴보면 트럼프 대통령이 직접 대미 투자액을 상향했을 것으로 추정되는 투자액이 나온다. 애초 일본이 제시한 투자액 4000억달러는 펜으로 그어져 있고, 그 위에 5000억달러라는 숫자가 써 있었기 때문이다. 트럼프 대통령은 전날 일본의 대미국 투자액은 5500억달러라고 공개했다. 협상액보다 500억 달러가 높아진 셈이다. 촉박한 협상 일정을 무기 삼아 미국이 비관세 영역도 손보려는 의도가 아니니냐는 해석도 나온다. 2025년 미국 무역대표부의 비관세 장벽 보고서(NTE)에서도 한국의 방산·통신·원전 분야를 지적했다. 박기훈 한국투자증권 연구원은 "방산과 통신은 미국 기업의 진입 장벽이라는 측면에서 구조 개선에 대한 압력을 가할 가능성이 크다"고 지적했다. wideopen@newspim.com 2025-07-24 18:42
사진
특검, 한덕수 자택·총리공관 압수수색" [세종=뉴스핌] 양가희 기자 = 내란특검팀이 24일 국무총리 서울공관에 대한 압수수색에 들어갔다. 국무총리실은 이날 문자 공지를 통해 특검팀의 수사에 적극 협조하고 있다며 이같이 밝혔다.   특검은 이날 한덕수 전 총리 자택 압수수색에도 나섰다. [서울=뉴스핌] 이형석 기자 = 한덕수 전 국무총리가 2일 오후 서울 서초구 서울고등검찰청에 마련된 내란 특검 사무실에서 조사를 마치고 차량으로 이동하고 있다. 2025.07.02 leehs@newspim.com 한 전 총리는 윤석열 전 대통령의 비상계엄 선포 계획을 알고도 이를 묵인 또는 방조했다는 의혹을 받고 있다. 특검은 압수물 분석을 마치는 대로 한 전 총리 등을 다시 조사한 뒤 구속영장 청구 여부 등을 검토할 전망인 것으로 알려졌다. sheep@newspim.com 2025-07-24 13:54
안다쇼핑
Top으로 이동