코로나19 악용한 김수키 악성 이메일 공격 발견

‘코로나 바이러스 감염증 19(코로나19)’ 이슈를 활용한 피싱 메일, 악성코드 등이 다양하게 나타나고 있다. 이 가운데 이스트시큐리티(대표 정상원)는 김수키(Kimsuky) 조직의 소행으로 추정되는 코로나19 바이러스 내용의 악성 이메일 공격을 발견했다고 27일 밝혔다.

김수키 조직은 특정 정부, 특히 북한의 후원을 받는 것으로 알려진 유명 사이버공격 집단이다. ▲문정인 특보 사칭 ▲대북 국책연구기관 사칭 스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버공격을 지속적으로 반복하고 있다는 게 회사측 설명이다.

새롭게 발견된 악성 이메일은 김수키 조직이 사회적 이슈인 코로나19 확산 사태를 사이버공격에 악용한 사례다. 악성 이메일은 유창한 한글로 내용이 작성됐고, 수신자가 의심 없이 메일을 열어 보도록 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 분석된다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과, 이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포된 것으로 확인됐다. 코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명이 ‘코로나바이러스대응.doc’인 악성 MS워드 문서가 첨부돼 있다.

수신자가 이 악성 문서 파일을 열람하게 되면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 다운로드한다.

추가로 다운로드된 악성코드는 ‘코로나바이러스감염증-19 대책 회의’라는 이름의 또 다른 한글 작성 문서를 띄워 사용자 의심을 더는 동시에, 사용자가 알아채지 못하게 ▲PC 계정정보 ▲호스트 네임, ▲네트워크 속성, ▲사용 중인 프로그램 목록, ▲실행 중 프로세스 목록 등 각종 정보를 수집한다.

또한 공격자로부터 추가 명령을 받을 수 있도록 윈도우 작업 스케줄러에 업데이트 프로그램으로 자기 자신을 등록, 3분 간격으로 실행하게 만드는 치밀함도 보였다.

ESRC 센터장 문종현 이사는 “최근 코로나19 바이러스 피해를 예방하는 차원에서 재택근무를 많이 채택하는 국내 기업, 기관의 임직원들이 평소보다 자주 이메일을 열람할 가능성이 높다”며, “재택근무시 가상사설망(VPN)을 통해 기업 내부망에 접속하고 있는 상황에서는 더욱 외부 이메일이나 첨부파일 열람하기 전 주의를 기울여야 한다”고 언급했다.

현재 알약(ALYac)에서는 해당 악성코드를 탐지명 ‘Trojan.Downloader.DOC.Gen’으로 탐지 및 차단하고 있으며, 상세 분석내용은 보안 인텔리전스 서비스 ‘쓰렛인사이드(Threat Inside)’를 통해 공개될 예정이다.

이스트시큐리티는 지난 25일에도 ‘코로나19 실시간 현황’ 조회 프로그램으로 위장한 악성코드가 발견됐다며 감염에 주의할 것을 경고했다.

이 악성코드는 ‘코로나 국내 현황’, ‘국내 코로나 실시간 현황’ 등의 파일명을 사용하는 실행 프로그램(EXE) 형태로 발견됐다. 파일을 실행하면 변종에 따라 ‘실시간 코로나19 현황’이라는 제목의 팝업창이 나타난다. 이 과정에서 사용자 몰래 PC 임시 폴더에 또 다른 악성 코드를 자동으로 설치한다.

새롭게 생성된 악성코드는 실제 악성 행위를 수행하는 기능이 있다. 감염될 경우 사용자 PC는 ▲원격제어 ▲키로깅 ▲화면 캡처 ▲추가 악성코드 설치, 정보 탈취 등 다양한 공격에 노출된다.

이밖에도 최근 세계보건기구(WHO), 미국 질병통제예방센터를 사칭해 악성 첨부파일을 담은 피싱 메일, 코로나 바이러스 주의사항을 담은 악성문서 등이 다양하게 발견되고 있다.

문 이사는 “최근 사이버 공격은 사회적 관심이 높은 사안을 악용해 사용자 심리를 노리는 공격 수법을 사용하고 있으며, 코로나19 경우도 감염 확산 초기인 지난 1월 하순부터 코로나(우한 폐렴) 키워드를 악용한 광고성 문자, 피싱 메일 등이 지속적으로 발견되고 있다”며, “코로나와 관련된 정보는 질병관리본부 공식 홈페이지 등 출처를 신뢰할 수 있는 곳에서 확인하는 것을 권장한다”고 당부했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network