코로나19의 확산으로 재택근무가 급격히 늘어나면서 이를 이용한 악성코드 이메일 공격도 발생하고 있다. 이스트시큐리티에 따르면 이번 악성 이메일 공격의 배후는 북한의 ‘김수키(Kimsuky)’조직의 소행으로 추정된다./픽사베이

시사위크=박설민 기자  코로나19의 확산으로 재택근무가 급격히 늘어나면서 이를 이용한 악성코드 이메일 공격도 발생하고 있다. 그런데 이 공격의 배후가 북한 사이버 공격 조직의 소행인 것으로 추정된다는 분석이 나왔다.

보안 전문기업 이스트시큐리티는 27일 북한의 ‘김수키(Kimsuky)’ 조직의 소행인 것으로 추정되는 코로나19 관련 악성 이메일 공격이 발견됐다고 밝혔다. 

김수키 조직은 북한 정부의 후원을 받고 있는 대표적인 사이버 공격집단이다. 그들은 주로  주로 △문정인 특보 사칭 △대북 국책연구기관 사칭 △스피어피싱 등 국내 기업과 기관, 관련 종사자들을 대상으로 한 사이버 공격을 수행한다. 

실제로 김수키 조직은 지속적으로 국내 인터넷 보안을 위협하고 있다. 지난 6일에는 한 교육원 관계자의 실제 교육원 관계자의 실제 주민등록등본 PDF 스캔파일처럼 위장한 APT(지능형지속위협) 공격이 등장했다. 이는 지난해 12월 공개된 김수키 조직의 ‘청와대 녹지원·상춘재 행사 견적서 사칭 APT 공격’ 사례의 3번째 변종으로 확인됐다.

실제 북한 김수키 조직이 발송한 악성 이메일. 해당 문서를 다운로드 받을 시 사용자의 PC에 악성코드가 설치돼 각종 정보들이 유출된다./ 이스트시큐리티

이번에 새롭게 발견된 악성 이메일은 △코로나 바이러스 관련 이사장님 지시사항 △코로나바이러스 대책회의 등과 같은 제목으로 작성돼 수신자가 메일을 열어보도록 유도하고 있다. 

이스트시큐리티 시큐리티대응센터(ESRC) 측에 따르면 이번 악성 이메일 유포대상은 국제 교류 관련기관 종사자 등이다. 최근 코로나19 감염 피해 예방을 위해 재택근무가 늘고 각종 공지 사항이 많이 전달되고 있는 상황을 노린 것으로 분석된다.

이메일에는 코로나19와 관련된 메일내용과 함께 워드 문서도 첨부됐다. 수신자가 해당 악성문서를 열람할 시 공격자가 문서에 삽입해 둔 악성 스크립트가 동작돼 추가 악성코드를 다운로드한다. 피해자의 PC로 다운로드된 악성코드는 사용자가 눈치 채지 못하는 사이 △PC 계정정보 △호스트 네임 △네트워크 속성 △사용 중인 프로그램 목록 △실행 중 프로세스 목록 등을 수집한다.

문종현 ESRC 센터장은 “최근 코로나19 피해를 예방하는 차원에서 재택근무를 많이 채택하는 국내 기업, 기관의 임직원들이 평소보다 이메일 열람을 자주 할 가능성이 높다”며 “재택근무 시 외부 이메일이나 첨부파일 열람하기 전 더욱 주의를 기울여야 한다”고 당부했다.

관련기사

저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다