검색 본문 바로가기 회사정보 바로가기

> 산업 >

"클릭하면 당한다" 도쿄 패럴림픽 사칭 이메일피싱 발견

(서울=뉴스1) 이수호 기자 | 2020-01-17 09:41 송고 | 2020-01-17 09:54 최종수정
© 뉴스1

도쿄 패럴림픽 안내 문서로 위장한 악성파일을 퍼트리는 '스피어 피싱'(이메일 해킹수법)이 발견돼 이용자들의 주의가 요구된다. 

보안업체 이스트시큐리티는 해킹 조직 '코니(Konni)'로 추정되는 해커가 도쿄 패럴림픽 관련 내용으로 위장한 스피어피싱(이메일 해킹수법) 공격을 감행한 정황을 포착했다고 17일 밝혔다.

이번 해킹은 지능형지속공격(APT) 공격 방식으로 파악된다. 이메일에 악성문서 파일을 첨부해, 이용자가 메일을 열면 자동으로 PC나 모바일에 악성코드가 다운로드 되고, 해커는 악성코드를 통해 단말기를 장악해 공격 명령을 내리거나 금융정보 등 민감한 정보를 훔쳐간다. 

스피어피싱에 활용된 악성 문서 2종은 파일을 저장한 사람의 이름이 'Georgy Toloraya'로 동일하며, 내부 코드 페이지가 한국어 기반으로 제작된 것이 특징이다.

문서 파일은 러시아어로 작성됐으며, 북한의 올해 정책과 일본의 도쿄 패럴림픽 관련 내용을 담고 있다. 실존하는 자선 단체인 'Kinzler Foundation'을 사칭한 문서의 파일명으로 문서를 열어보도록 유도하고 있다.

이번 공격에 활용된 악성 매크로 코드는 과거 코니 조직이 활용했던 매크로와 거의 유사하게 만들어졌으며, 악성 문서파일 구조도 매우 흡사하다고 이스트소프트 측은 설명했다.

또 해커는 보안 탐지와 분석 등을 회피하기 위해 '커스텀 Base64 코드' 방식을 적용했는데, 이는 지난해 9월 코니의 러시아·북한·한국 무역, 경제 관계 투자 문서로 수행된 수법과 일치한다.

해당 이메일을 수신한 이용자가 첨부된 러시아어 내용의 문서나 일본 패럴림픽 관련 내용에 속아 콘텐츠 사용 버튼을 클릭하게 되면, 내부에 포함된 코드가 활성화되면서 정상적인 문서 내용을 보여줌과 동시에 악성코드가 은밀히 실행된다.

악성코드에 감염되면 공격자가 임의로 지정한 서버로 사용자 PC 시스템의 주요 정보를 전송하고, 공격자의 추가 명령에 따른 원격제어가 가능해지는 등 2차 피해로 이어질 수 있다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 "지난해 코니와 김수키(Kimsuky) 조직간의 공통점이 발견된 사례가 있었던 만큼 두 조직에 대한 지속적인 연구가 필요하다"며 "올해에도 코니 조직의 활동이 새롭게 포착돼 ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있다"고 말했다.


lsh5998688@news1.kr