이스트시큐리티는 22일 마스크 관련 정보로 위장한 악성 문서가 메일로 전송되고 있다며 사용자들의 주의를 당부했다. 코니는 지능형 지속위협(APT) 공격그룹으로 수년 간 국내에 APT공격을 진행하고 있다.
APT는 타깃을 확정한 뒤 흥미를 이끄는 수단을 동원해 장기간에 걸쳐 해킹을 시도하는 방법을 말한다. 이를테면 일반 기업에는 입사지원서나 견적서 등으로 위장한 악성코드를 보내고 연구기관에는 연구결과나 논문 등으로 위장한 파일로 공격하는 방식이다. 실시간으로 공격을 감행하는 방식이 아니라 시간을 특정한 뒤 공격을 감행하는 특징이 있다.
이번에 공격사례가 발견된 코니는 1분기에도 러시아어로 작성된 북한의 정책문서와 일본의 패럴림픽 관련 문건으로 위장해 공격한 전례가 있다.
문종현 ESRC 센터장은 “이번에 발견된 문서는 마스크 관련 정보로 위장한 MS워드 파일”이라며 “한국어 기반 시스템에서 4월21일 작성된 것으로 공격 방식과 코드로 코니의 소행임을 확인했다”고 설명했다.
이번 공격은 ‘guidance’라는 파일에 악성코드를 포함하고 있다. 이 파일을 실행하면 문서 내용이 제대로 파악되지 않으며 화면 상단의 ‘콘텐츠 사용’ 버튼을 클릭하라고 유도한다. 이 버튼을 누르면 가짜 마스크 관련 정보가 화면에 출력됨과 동시에 PC가 악성코드에 감염된다.
문 센터장은 “코니는 2014년부터 국내외 특정조직을 타깃으로 다양한 APT 공격을 감행했다”며 “이들의 움직임을 주목할 필요가 있다”고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>