'북한 코로나 상황 인터뷰 사칭한 악성 워드 파일 주의해야"

기사등록 2020/05/29 10:20:45

이스트시큐리티 "김수키 조직, 코로나19 테마로 공격 지속"

▲ 보호된 문서처럼 위장해 악성 매크로를 실행하도록 유도하는 모습 (자료제공=이스트시큐리티)
[서울=뉴시스] 이진영 기자 = 보안 전문 기업 이스트시큐리티는 미국 내 북한 문제 전문가 포럼인 '전미북한위원회(NCNK)'의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견돼 각별한 주의가 필요하다고 29일 밝혔다.

발견된 악성 파일은 지난 26일 제작됐으며 파일명은 'My Interview on COVID-19 with NCNK.doc'이다. 마이크로소프트(MS) 워드 파일 형식으로 제작됐다.

북한 내 코로나19 바이러스 확산 상황과 국제 비정부조직(NGO) 지원 여부 내용 등이 담겨있으며, 이는 실제 전미북한위원회 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 기법이 북한 정부와 연계된 것으로 알려진 일명 '김수키(Kimsuky)' 조직이 사용한 지능형지속위협(APT) 공격과 동일하다고 분석했다.

이메일 수신자가 악성 파일을 열어보면 MS 워드 영문 문서가 나타나고, 문서 상단에 보이는 버튼 클릭을 유도한다. 만약 버튼을 클릭하면 해커가 침입할 수 있다.

문종현 ESRC 센터장 이사는 "김수키 조직은 수년간 한국을 상대로 공격을 수행할 때 주로 한컴오피스(HWP) 문서 취약점을 널리 사용했는데, 최근에는 워드 문서 파일도 공격에 적극적으로 활용하고 있다"며 "만약 이메일이나 SNS 메신저 등으로 전달받은 워드 문서를 오픈할 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 무심코 콘텐츠 사용 버튼을 눌러서는 절대 안 된다"고 말했다.


◎공감언론 뉴시스 mint@newsis.com