[머니투데이 김주현 기자]

통일외교안보특보 발표자료를 사칭한 악성 문서 파일/사진제공=이스트시큐리티

<이미지를 클릭하시면 크게 보실 수 있습니다>

'통일외교안보특보 세미나 발표 문서'를 사칭해 특정 관계자 정보를 노린 스피어 피싱 공격이 발견돼 이용자들의 주의가 당부된다.

14일 보안 전문 기업 이스트시큐리티에 따르면, 이번 공격에 사용된 악성 DOC 문서 파일은 지난 6일(현지 시간) 미 워싱턴DC 국익연구소의 '2020년 대북 전망 세미나 관련 질의응답 내용' 등을 담고 있다. 공격자는 해당 세미나 내용을 위장해 APT(지능형지속위협) 공격을 감행했다.

실제 발견된 악성 문서 파일명은 '문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc' 이다. 해당 악성 문서를 열어보면 MS워드 프로그램 상단에 보안 경고창이 나타난다. 동시에 문서를 정상적으로 보기 위해 '콘텐츠 사용' 버튼을 누르도록 유도하는 영문 안내가 나타난다.

수신자가 세미나 발표 자료로 착각해 이 문서를 실행하고 매크로 사용을 허용하면 악성코드가 설치돼 좀비 PC가 된다. 좀비 PC가 되면 사용자 PC의 △시스템 정보 △최근 실행 목록 △실행 프로그램 리스트 등 다양한 정보가 수집된다. 또 공격자의 추가 명령도 대기하게 돼 2차 피해로 이어질 가능성도 높다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 "이번 공격은 지난해 4월 공개된 한·미 겨냥 APT 캠페인 '스모크 스크린'의 사이버 위협 연장선의 일환"이라며 "특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해 해당 조직의 소행으로 추정된다"고 말했다.

현재 ESRC에서는 피해를 방지하기 위해 공격에 사용된 악성 파일을 면밀히 분석하고 있다. 추가 분석이 끝나면 분석 내용을 자사 인공지능 기반 악성코드 위협 대응 솔루션 '쓰렛인사이드'와 알약 공식 블로그에 공개할 예정이다.

김주현 기자 naro@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>