문정인 대통령 통일외교안보특별보좌관의 강연 문건을 사칭한 사이버 공격이 발견돼 웹 사용자들의 각별한 주의가 필요하다는 진단이다. 해당 공격은 북한 해킹 조직으로 유명한 ‘김수키’(Kimsuky) 조직으로 추정된다.

보안 솔루션 기업 이스트시큐리티는 ‘통일외교안보특보 세미나 발표 문서’를 사칭해 악성코드를 심고 정보 탈취를 목적으로 한 스피어 피싱 공격이 발견됐다고 14일 밝혔다.

공격에 사용된 문서 파일은 지난 6일(현지 시간) 미 워싱턴DC 국익연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등의 내용을 담고 있다. 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’로 명시하고 있다.

해당 파일을 열람하면 MS워드 프로그램 상단에 보안 경고창이 나타난다. 이어 문서를 정상적으로 실행하고자 경고창의 콘텐츠 사용 버튼을 누르도록 유도하는 영문 안내가 실행된다. 해당 메일을 받아본 이가 버튼을 눌러 매크로 사용을 허용하면 특정 서버를 통한 악성코드가 즉각 설치된다. 사용자 PC 시스템 정보를 비롯한 최근 실행 목록, 실행 프로그램 리스트 등 각종 정보가 탈취당한다.

특히 공격자의 원격제어로 사이버 공격에 활용되는 일명 ‘좀비 PC’로 전락한다. 좀비 PC가 되면 해당 PC를 사용하는 이의 지인들에게 2차 사이버 공격이 시도될 수 있다.

문종현 이스트시큐리티 ESRC 이사는 “이번 공격은 2019년 4월에 공개된 한미 겨냥 지능형지속위협(APT) 캠페인 ‘스모크 스크린’의 사이버 위협 연장선의 일환”이라며 “김수키 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 해당 조직의 소행으로 추정된다”고 전했다.

한편 지난해 10월 김수키 조직으로 추정되는 지능형지속위협(APT) 공격이 발견된 바 있다. 북한 난민 구출 요청처럼 위장해 스피어피싱 공격에 나섰다. 해당 공격에 사용된 악성 문서 파일의 작성자 계정은 이번 공격에 사용된 것과 동일한 것으로 분석됐다.

이스트시큐리트는 피해를 방지하고자 공격에 사용된 악성 파일을 분석하는 중으로 추가 분석이 완료되면 분석 내용을 자사 인공지능 기반 악성코드 위협 대응 솔루션 ‘쓰렛인사이드’(Threat Inside)와 알약 공식 블로그를 통해 공개할 계획이다.

김상우 기자 ksw@viva100.com