검색 본문 바로가기 회사정보 바로가기

'이력서 사칭' 문서 열면 정보 탈탈…中 추정 해커, 국내 기업 공격 주의

(서울=뉴스1) 정윤경 기자 | 2020-05-20 14:30 송고
해킹 공격에 사용된 악성 문서와 사진 화면 (일부 모자이크 처리)(이스트시큐리티 제공)© 뉴스1
해킹 공격에 사용된 악성 문서와 사진 화면 (일부 모자이크 처리)(이스트시큐리티 제공)© 뉴스1

보안업체 이스트시큐리티는 국내 기업들을 대상으로 중국인으로 추정되는 지능형지속위협(APT) 그룹의 공격 시도가 눈에 띄게 증가하고 있어 주의가 필요하다고 20일 밝혔다.

이스트시큐리티에 따르면 지난 4월부터 최근까지 국내의 게임사, 언론사 등을 대상으로 이메일을 통한 스피어 피싱 공격이 다수 발견됐다. 스피어피싱이란 불특정 다수가 아닌 특정 개인이나 회사를 대상으로 한 피싱 공격을 말한다.  

이들은 이메일에 악성 문서파일을 첨부하는 방식을 사용해 국내 기업을 공격했다. 이용자가 첨부된 문서를 내려받아 실행할 경우 이용자는 보안 위협에 노출돼 개인정보나 PC에 저장된 자료 일부가 탈취되는 식이다.

해커들은 워드 파일(DOCX) 문서를 활용했으며 '제 이력서 입니다.docx', '직원 활동 보너스 신청서.docx', '직무 요구와 대우.docx' 등의 파일 이름을 사용해 다운로드를 유도했다. 최근에는 회사 내부의 사내 문서를 사칭한 파일로 공격한 흔적도 발견됐다.

해당 악성 문서를 실행하면 개인 정보 옵션 화면처럼 조작한 이미지가 나타나며 보안 및 개인 정보보호를 위해 매크로 실행이 필요하다는 식으로 '콘텐츠 사용' 기능을 허용하도록 유도한다. 이용자가 '콘텐츠 사용' 버튼을 누르면 본격적인 보안 위협에 노출된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이들 악성 파일들이 대부분 중국어를 기반해 작성됐고 악성 문서 작성자가 'coin***'으로 동일한 이름을 사용한 것이 특징이라고 밝혔다.

문종현 이스트시큐리티 ESRC 센터장은 "해당 APT 공격 그룹은 국내 특정 회사의 디지털 서명을 사칭해 보안 위협 모니터링 탐지 회피를 시도하고 있다"며 "갈수록 정교화된 방식으로 공격할 수 있어 각별한 대비와 주의를 기울여야 한다"고 당부했다.

해당 악성 문서는 백신 프로그램 알약에서 Trojan.Downloader.DOC.Gen 등의 탐지명으로 탐지 및 치료 가능하다.


v_v@news1.kr

이런 일&저런 일

    더보기