북한 배후로 추정되는 '코니 APT' 해킹 조직이 새해 들어 스피어피싱 공격에 돌입한 것으로 나타났다.
이스트시큐리티 시큐리티대응센터(ESRC)는 최근 '북한 중앙위원회 전원회의', '2020년 도쿄 패럴림픽' 관련 문서로 위장한 지능형지속위협(APT) 공격을 포착했다. 과거 공격과 유사성 분석을 통해 북한 관련 내용과 사회 이슈로 클릭을 유도하는 '코니 APT'를 공격자로 지목했다. '코니 APT'는 역시 북한 배후로 추정되는 '김수키' 해킹 조직과 연관성이 의심된다.
이번에 발견된 악성 문서 2건은 각각 지난 14일과 15일에 제작된 것으로 확인됐다. 내부 코드 페이지가 한국어 인코딩 표준으로 제작됐으며 최종 작성자가 같다는 공통점이 있다.
'북한 중앙위원회 전원회의' 관련 문서는 이용자 클릭 시 글꼴이 연한 회색으로 설정된 본문과 함께 액티브 콘텐츠 차단 보안 경고창이 나타난다. 글꼴 색 조절을 위해 '콘텐츠 사용' 버튼을 클릭하면 악성 매크로가 실행된다. '2020년 도쿄 패럴림픽' 관련 문서는 도쿄 패럴림픽에 기부한 재단에 관한 설명을 담고 있지만 실제로는 악성 문서다.
악성코드 감염 시 공격자가 임의로 지정한 FTP 서버로 시스템 주요 정보를 업로드한다. 공격자 의도와 명령에 따라 추가 원격제어가 가능하다.
ESRC 관계자는 “새해 들어 '코니 ATP' 조직 활동이 새롭게 포착된 만큼 집중 모니터링을 강화하고 변종 대응을 철저히 진행하고 있다”고 말했다.
알약은 이번 악성 문서를 'Trojan.Downloader.W97M.Gen'로 탐지하고 있다.
오다인기자 ohdain@etnews.com