문정인 대통령 통일외교안보특별보좌관의 강연 문건을 사칭한 사이버 공격이 발견됐다. 북한 해킹 조직 중 하나인 ‘김수키(Kimsuky)’ 조직이 공격 배후로 추정되는 상황이다.
보안 전문 기업 이스트시큐리티는 ‘통일외교안보특보 세미나 발표 문서’를 사칭해 특정 관계자 정보를 노린 ‘스피어 피싱’ 공격이 발견됐다고 14일 밝혔다.
이번 공격에 사용된 악성 문서 파일은 지난 6일(현지 시간) 미 워싱턴DC 국익연구소의 ‘2020년 대북 전망 세미나 관련 질의응답 내용’ 등을 담고 있다. 파일명은 ‘문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc’이다.
해당 파일을 열어보면 MS워드 프로그램 상단에 보안 경고창이 나타나고, 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타난다. 만약 수신자가 이 버튼을 클릭해 매크로 사용을 허용할 경우 국내 특정 서버에서 추가 악성코드가 설치되고, 사용자 PC의 시스템 정보, 최근 실행 목록, 실행 프로그램 리스트 등 다양한 정보가 탈취당한다.
또 공격자의 추가 명령에 대기하는 이른바 ‘좀비 PC’가 된다. 좀비 PC 상태가 되면 공격자가 원격 제어 등을 통해 언제든 추가 악성 행위를 시도할 수 있어, 2차 피해로 이어질 가능성이 높다.
문종현 이스트시큐리티 ESRC 이사는 “이번 공격은 2019년 4월에 공개된 바 있는 한·미 겨냥 지능형지속위협(APT) 캠페인 ‘스모크 스크린’의 사이버 위협 연장선의 일환”이라며 “김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해, 해당 조직의 소행으로 추정된다”고 설명했다.
/백주원기자 jwpaik@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
