마스크가 신종 코로나바이러스 감염증(코로나19) 예방에 효과적이라고 알려지며 전 세계적으로 품귀 현상이 벌어진 가운데 마스크 관련 정보 문서로 위장한 악성 문서 파일이 발견됐다. 대부분 이메일에 해당 문서를 첨부해 유포되는 만큼 각별한 주의가 요구된다.
보안 전문 기업 이스트시큐리티는 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있다면서 이메일에 첨부된 파일을 열어볼 때 주의가 필요하다고 22일 밝혔다. 특히 문서 상단에 있는 ‘콘텐츠 사용’ 버튼을 클릭하지 말 것을 당부했다.
이스트시큐리티에 따르면 이 악성 문서는 ‘guidance’라는 파일명을 사용하고 있다. 이메일에 첨부된 이 문서를 열어보면 처음에는 문서 내용이 제대로 보이지 않으며 내용 확인을 위해 상단에 있는 ‘콘텐츠 사용’ 버튼 클릭을 유도한다.
만약 이 버튼을 클릭하면 공격자가 미리 설정해둔 악성 매크로 코드가 작동해 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어 서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다. 악성코드가 설치될 경우 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, 추가 공격 명령도 수행할 수 있게 된다.
아울러 해당 악성 문서는 특정 정부의 후원을 받는 것으로 추정되는 지능형지속공격(APT) 그룹 ‘코니(Konni)’의 소행으로 확인됐다. 코니는 지난 몇 년 간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있으며, 이스트시큐리티의 시큐리티대응센터(ESRC)에서 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.
문종현 ESRC 센터장은 “이번에 발견된 악성 문서는 마이크로소프트 워드로 작성됐고, 한국어 기반의 시스템 환경에서 지난 21일에 생성된 것으로 추정된다”며 “활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니의 공격임을 확인했다”고 밝혔다.
이어 그는 “코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다”며 “이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼 각 기업과 기관에서는 이들의 움직임에 주목해야 한다”고 강조했다.