[CCTV뉴스=최형주 기자] 이스트시큐리티가 27일 국제 무역∙경제 관계에 관한 투자 문서를 사칭해 악성파일이 유포되고 있어, 관련 업계 종사자의 각별한 주의를 당부했다.

‘남-북-러’ 관계에 대해 언급하는 이번 공격은 악성파일을 첨부한 이메일을 특정 대상에게 발송하는 전형적인 스피어피싱(Spear Phishing) 공격 방법을 사용했다.

이메일에는 러시아어로 작성된 워드 파일에 악성 코드가 포함된 것이 확인됐다. 러시아로 작성된 파일 제목을 한국어로 번역하면 ‘러시아-북한-대한민국-무역 및 경제 관계-투자.doc’라고 해석되는데, 이는 무역 업계를 대상으로 한 스피어 피싱 공격이 진행되고 있음을 보여준다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 공격에 사용된 MS워드 문서는 한국어 기반 환경에서 제작됐고, 문서 파일을 실행하면 글꼴 색상이 백색으로 지정되어 마치 빈 문서로 보인다. 실행 직후 ‘러시아어 텍스트로 설정된 언어 교정 도구 없음’이라는 알림과 콘텐츠 차단 보안 경고창이 나타난다.

‘콘텐츠 사용’ 허용 시, 이용자의 PC에서 매크로가 실행돼 다른 악성파일을 자동으로 내려 받아 PC는 해커에게 완전 장악당하게 된다.

ESRC는 “이번 공격에 사용된 악성 파일을 분석한 결과, 공격 벡터 등 여러 가지 요소에서 기존에 보고되었던 코니(Konni) 시리즈와의 유사점이 발견됐다”며, “이번 공격은 코니(Konni) APT 조직의 새로운 위협 활동으로 볼 수 있다”고 밝혔다.

최형주 기자 다른기사 보기