Home > 전체기사
‘코로나19’ 사태 악용한 김수키 조직 사이버 공격 발견
  |  입력 : 2020-02-27 18:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정재단 이사장 사칭한 악성 이메일 발견...첨부파일 클릭하면 사용자 정보 수집해
코로나19 사태로 재택근무 늘어...VPN 통해 회사 내부망 접속시 조심해야


[보안뉴스 원병철 기자] 최근 심각 단계로 격상된 ‘코로나19’의 감염환자들이 이제 1천명을 넘어 2천명에 다가선 가운데, 코로나19 사태를 악용한 사이버 공격이 곳곳에서 발생하고 있어 사용자들의 주의가 요구된다. 특히 우리나라 한수원을 공격한 것으로 알려진 ‘김수키(Kimsuky)’ 조직의 소행으로 추정되는 악성 이메일이 발견돼 관계자들이 주목하고 있다.

▲‘이사장님 지시사항’ 이메일로 위장한 악성 이메일[자료=이스트시큐리티]


보안 전문기업 이스트시큐리티(대표 정상원)은 ‘김수키 조직’의 소행으로 추정되는 ‘코로나19’ 바이러스 내용의 악성 이메일 공격이 발견되었다고 27일 밝혔다. 김수키 조직은 특정 정부의 후원을 받는 것으로 알려진 대표적인 사이버 공격 집단으로, △문정인 특보 사칭 △대북 국책연구기관 사칭 스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 지속적으로 반복하고 있다.

새롭게 발견된 악성 이메일은 김수키 조직이 사회적 이슈인 ‘코로나19’ 바이러스 확산 사태를 사이버 공격에 악용한 사례다. 악성 이메일은 유창한 한글로 내용이 작성되었으며, 수신자가 의심 없이 메일을 열어 보도록 최근 코로나19 감염 피해 예방을 위해 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 보인다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석 결과 이번 악성 이메일은 국제 교류 관련기관 종사자를 대상으로 유포된 것으로 확인되며, 코로나19 관련 이사장 지시사항을 사칭한 메일 내용과 함께 파일명이 ‘코로나바이러스대응.doc’인 악성 MS워드 문서가 첨부되어 있다. 수신자가 이 악성 문서 파일을 열람하게 되면 공격자가 문서에 삽입해 둔 악성 스크립트가 동작하고, 추가 악성코드를 다운로드한다.

▲악성문서 파일을 열면 보이는 ‘코로나바이러스 감염증-19 대책 회의’ 문서[자료=이스트시큐리티]


추가로 다운로드된 악성코드는 ‘코로나바이러스감염증-19 대책 회의’라는 이름의 또 다른 한글 작성 문서를 띄워 사용자 의심을 더는 동시에, 사용자가 알아채지 못하게 △PC 계정정보 △호스트 네임 △네트워크 속성 △사용 중인 프로그램 목록 △실행 중 프로세스 목록 등 각종 정보를 수집한다. 또한 공격자로부터 추가 명령을 받을 수 있도록 윈도 작업 스케쥴러에 업데이트 프로그램으로 자기 자신을 등록하여, 3분 간격으로 실행하게 만드는 치밀함도 보였다.

ESRC 센터장 문종현 이사는 “최근 코로나19 바이러스 피해를 예방하는 차원에서 재택근무를 많이 채택하는 국내 기업, 기관의 임직원들이 평소보다 이메일 열람을 자주 할 가능성이 높다”며, “재택근무 시 VPN을 통해 기업 내부망에 접속을 하고 있는 상황에서는 더욱 외부 이메일이나 첨부파일 열람하기 전 주의를 기울여야 한다”고 언급했다.

현재 알약(ALYac)에서는 해당 악성코드를 탐지명 ‘Trojan.Downloader.DOC.Gen’으로 탐지 및 차단하고 있으며, 상세 분석내용은 보안 인텔리전스 서비스 ‘쓰렛인사이드(Threat Inside)’를 통해 공개될 예정이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)