도쿄 패럴림픽 자선단체 사칭 악성메일 발견

[아이뉴스24 최은정 기자] 2020 도쿄 패럴림픽 자선단체 관련 악성메일이 발견돼 사용자 주의가 요구된다.

보안 기업 이스트시큐리티는 지능형지속위협(APT) 공격 조직 중 하나인 '코니(Konni)'의 스피어 피싱 시도가 올들어 새롭게 포착됐다고 17일 발표했다.

이번에 발견된 APT 공격은 이메일에 악성 워드문서 파일(.doc)을 첨부하는 방식을 사용한 것으로 추정된다. 여기에 사용된 악성문서는 2종으로, 작성된 시점은 지난 14일과 15일이다. 해당 문서파일을 저장한 사람의 이름은 '그레고리 톨로라야(Georgy Toloraya)'로 동일하며, 내부 코드 페이지는 한국어로 제작됐다.

또한 파일 본문은 러시아어로 작성돼 있으며, 올해 북한의 정책과 2020년 일본 도쿄 패럴림픽 관련 내용을 담고 있다. 이중 패럴림픽 관련 문서 파일명에는 실존하는 자선단체인 '킨즐러 재단(Kinzler Foundation)' 이름이 포함돼 메일 수신자가 의심없이 문서를 열람하도록 유도했다.

17일 이스트시큐리티가 발표한 코니 조직 관련 악성메일 2종 [이미지=이스트시큐리티]

이번 공격에 활용된 악성 매크로 코드는 과거 코니 조직이 활용했던 매크로와 거의 유사하다. 악성문서 파일 구조 역시 매우 흡사한 것으로 나타났다. 공격자는 보안 탐지·분석 등을 회피하기 위해 커스텀 베이스64(Base64) 코드 방식을 적용했다. 지난해 9월 코니 조직이 유포한 '러시아-북한-한국 무역 경제 관계 투자' 악성 문서와 같은 수법이다.

만약 이메일에 첨부된 문서를 열어 콘텐츠 사용 버튼을 클릭하게 되면, 내부에 포함된 악의적 코드가 활성화된다. 이때 정상적인 문서 내용을 보여주는 동시에 악성코드가 은밀히 실행된다. 악성코드에 감염되면 공격자 파일전송프로토콜(FTP) 서버로 사용자 PC 시스템의 주요 정보가 업로드된다. 공격자의 추가 명령에 따라 원격제어 악성코드 감염 등 2차 피해로 이어질 수 있다.

문종현 ESRC 이사는 "지난해 코니와 김수키 조직간 공통점이 발견된 사례가 있었던 만큼 두 조직에 관한 지속적인 연구가 필요하다"고 말했다.

최은정 기자 ejc@inews24.com