[주의] '北 코로나19 상황 인터뷰 문서' 사칭 APT 공격 발견

최근 국내에서 미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 발견되었는데요. 오늘은 해당 악성파일의 감염 피해를 방지하기 위해, 이 공격 수법과 그 대응 방법을 알아보고자 합니다.

 

 

 

이번 APT(지능형지속위협) 공격 수법은?

이번에 발견된 악성 파일명은 ‘My Interview on COVID-19 with NCNK.doc’로, 지난 5월 26일 MS 워드의 DOC 문서 형식으로 제작되었습니다.

이 문서에는 북한 내 코로나19 바이러스 확산 상황과 국제 NGO 단체의 지원 여부 내용 등이 담겨있으며, 이는 실제 전미북한위원회(NCNK, THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용한 것으로 보입니다.

 

 

전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용 (제공=이스트시큐리티)

 

이번 APT 공격에는 DOC 문서 자체 취약점이 아닌 정상적인 '매크로' 기능을 악용한 악성 문서 파일을 이메일에 첨부해 유포하는 '스피어 피싱(Spear Phishing)' 기법이 사용되었는데요.

이메일 수신자가 문서 내용에 현혹돼 악성 파일을 열어보게 되면 마치 보호된 MS 워드 영문 문서 화면처럼 위장된 문서가 나타나고, 문서 확인을 위해 상단에 보이는 매크로 버튼 클릭을 유도하게 됩니다.

이때 만약 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우, 해커가 지정한 서버로 접속해 추가 명령을 수행하게 되는데요. 또한 마이크로소프트의 클라우드 스토리지(저장소) 서비스인 ‘OneDrive’라는 이름으로 윈도 작업 스케줄러에 악성 트리거(Trigger)를 등록해, 3분마다 무한 반복으로 한국 소재 특정 교육원 서버로 접속을 시도합니다.

해당 명령 제어(C2) 서버와 정상적 통신이 이뤄지면 단계별 PHP 명령을 수행하고, 이후 C2 서버 명령을 통해 감염된 PC의 각종 정보가 은밀히 탈취되게 됩니다.

 

 

보호된 문서처럼 위장해 악성 매크로를 실행하도록 유도하는 모습 (제공=이스트시큐리티)

 

특히 이번 공격은 윈도 작업 스케줄러 예약을 통해 악성 파일을 사용자 PC에 저장하지 않는 파일리스(Fileless) 기법처럼 작동하기 때문에, 악성 코드 감염 여부를 신속히 탐지하거나 식별하기 어려울 것으로 예상되는데요.

더욱이 공격자로 추정되는 ‘김수키(Kimsuky)’ 조직의 과거 스모크 스크린 캠페인의 사례에 비춰볼 때 향후 공격자는 좀비 PC를 선별해 원격제어(RAT) 등의 악성 파일을 추가로 설치할 가능성이 있습니다. 이에 따라 기업이나 기관 내부의 다양한 추가 피해로 이어질 수 있어 각별한 주의가 요구됩니다.

 

 

악성파일 감염 피해를 막기 위한 방법은?

이스트시큐리티 문종현 ESRC 센터장은 "만약 이메일이나 SNS 메신저 등으로 전달받은 DOC 문서를 오픈할 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 무심코 콘텐츠 사용 버튼을 눌러서는 절대 안 된다"고 조언했는데요.

이어 “대북 분야에서 활동하는 여러 인사가 김수키 조직의 주요 APT 위협 대상이며, 특히 코로나19 바이러스 정국을 공격 키워드로 현혹하는 점도 명심해야 한다”며, "최근 외교, 안보 및 대북 분야 종사자를 겨냥한 공격 정황이 꾸준히 포착되고 있는 만큼, 유사한 위협에 노출되지 않도록 관계자들의 각별한 보안 수칙 준수 노력이 요구된다”고 당부했습니다.

 

악성파일 감염 피해를 예방하기 위해서는 출처를 알 수 없는 메일은 클릭하지 않고, 메일에 포함된 첨부파일을 실행할 때는 항상 유의하는 것, 잊지마세요!

알약과 함께하는 이메일 보안 수칙이 궁금하다면 아래 링크에서 확인해 보세요!