2020.08.04 (화)

  • 흐림동두천 26.5℃
  • 흐림강릉 24.8℃
  • 서울 29.1℃
  • 흐림대전 31.8℃
  • 구름많음대구 32.9℃
  • 연무울산 31.4℃
  • 구름많음광주 30.7℃
  • 박무부산 28.2℃
  • 구름많음고창 31.2℃
  • 구름많음제주 30.6℃
  • 흐림강화 26.0℃
  • 흐림보은 30.4℃
  • 흐림금산 31.3℃
  • 구름많음강진군 30.2℃
  • 구름많음경주시 32.6℃
  • 구름조금거제 27.7℃
기상청 제공

코로나19 ‘마스크’ 관심 노린 APT 공격 발견 '주의 요망'

이스트시큐리티, 코니 조직 소행 추정…파일 열시 악성코드 설치

(서울=미래일보) 김정현 기자= 코로나19 사태로 인해 마스크가 전 세계적으로 품귀현상이 나타나고 있는 가운데 관련 정보 문서로 위장한 악성문서 파일을 열어볼 경우 사용자 PC에 악성코드가 설치되고 주요 정보가 탈취될 수 있어 주의가 필요하다.


이스트시큐리티는 마스크 관련 정보 문서로 위장한 악성 문서가 유포되고 있으며, 이 문서는 특정 정부 후원을 받는 것으로 추정되는 APT 공격 그룹 코니(Konni)의 소행으로 추정된다고 22일 밝혔다.

APT 공격 그룹 코니는 진난 몇 년간 꾸준히 국내를 타깃으로 APT공격을 수행하고 있다. 이스트시큐리티 ESRC(시큐리티대응센터)에서는 이미 수차례 이 조직의 위협을 확인하고 경고한 바 있다.

이 조직은 2020년에도 지속해서 APT 공격을 시도하고 있으며, 실제로 올 1분기 러시아어로 작성된 ‘북한의 2020년 정책 문서’, 그리고 ‘일본 2020년 패럴림픽 관련 자선단체 문서’ 사칭, 'Keep an eye on North Korean Cyber'라는 악성 doc 문서를 활용한 공격 등을 진행한 것으로 밝혀졌다.

문종현 ESRC 센터장은"이번에 발견된 마스크 관련 정보로 위장한 악성 문서는 MS워드(MS- Word)로 작성됐고 한국어 기반의 시스템 환경에서 지난 21일에 생성된 것으로 추정된다"며 "활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니(Konni) 조직의 공격임을 확인했다"고 말했다.

새롭게 발견된 악성 문서는 'guidance'라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않으며, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다.

만약 ‘콘텐츠 사용’ 버튼을 클릭할 경우 최근 이슈가 되고 코로나19 바이러스 관련 마스크 소개 내용을 담은 문서를 보여주며 악성코드 감염 의심을 회피한다.

하지만 실제로는 공격자가 미리 설정해둔 악성 매크로 코드가 동작하며 사용자 몰래 자동으로 추가 파일을 실행한다. 이후 공격자의 명령제어(이하 C2)서버에서 추가로 악성 파일을 다운로드해 사용자 정보를 탈취하는 기능을 가진 최종 악성코드를 설치한다.

악성코드가 설치될 경우 공격자가 지정한 FTP로 감염된 PC의 시스템 정보와 실행 중인 응용프로그램, 관련 작업, 프로세스 목록 정보가 업로드되며, C2 서버를 통한 추가 공격 명령도수행할 수 있게 된다.

ESRC는 악성코드 설치과정에서 공격자가 탐지와 분석을 회피하기 위해 커스텀 Base64 코드를 적용했고, 이는 기존 코니 조직이 사용한 방식과 동일한 것으로 분석했다.

문 이사는 "코니 조직은 2014년부터 국내외 특정 조직을 타깃으로 사회공학적 기법을 활용한 다양한 APT 공격을 수행해왔다”며, “이 조직은 타깃이 관심을 가질만한 사회적 이슈나 주제를 공격에 활용하는 모습을 자주 보여온 만큼, 각 기업과 기관에서는 이들의 움직임에 주목해야 한다"고 강조했다.

현재 알약에서는 새롭게 발견된 악성코드를 탐지명 ’Trojan.Downloader.DOC.Gen’, ‘Trojan.Agent.245248K’, ‘Trojan.Agent.9216K’로 탐지 차단하고 있다.

redkims64@daum.net

배너


배너

포토리뷰


사회

더보기
[속보] 이만희 신천지 총회장 구속…방역 방해·횡령 등 혐의 (서울=미래일보) 장건섭 기자 = 정부의 신종 코로나바이러스 감염증(코로나19) 방역 활동을 방해한 혐의를 받고 있는 이만희(89) 신천지예수교 증거장막성전(이하 신천지) 총회장이 1일 새벽 구속됐다. 이명철 수원지법 영장전담판사는 전날 감염병예방법 위반, 특정경제범죄가중처벌법 위반(횡령) 등의 혐의를 받는 이 총회장에 대한 구속 전 피의자 심문(영장실질심사)을 진행한 뒤 "범죄사실에 대하여 일부 다툼의 여지가 있으나, 일정 부분 혐의가 소명됐다"고 영장 발부 사유를 밝혔다. 이 판사는 이어 "수사 과정에서 조직적으로 증거를 인멸한 정황이 발견되며, 종교단체 내 피의자의 지위 등에 비춰볼 때 향후 추가적인 증거인멸의 염려를 배제하기 어렵다"며 "비록 고령에 지병이 있지만 수감생활이 현저히 곤란할 정도라고 보이지는 않는다"고 영장 발부 사유를 설명했다. 이에 앞서 검찰은 이 총회장에 대해 감염병예방법 위반, 위계에 의한 공무집행방해, 특경법 위반(횡령), 업무방해 등 혐의를 적용해 지난 28일 구속영장을 청구했다. 이 총회장은 신천지를 중심으로 코로나19가 확산하던 지난 2월 신천지 간부들과 공모해 방역당국에 신도 명단과 집회 장소를 축소해 보고, 정부의 방역

정치

더보기
권인숙 의원 "랜덤채팅앱 인증만으로 청소년 성착취 차단 불가" (서울=미래일보) 장건섭 기자 = 권인숙 더불어민주당 의원은 3일 국회에서 열린 국회 여성가족위원회 전체회의에서 "기술적 조치를 취하지 않는 랜덤채팅앱을 청소년유해매체물로 지정하는 것만으로는 청소년 성착취를 차단하는 데 한계가 있다"면서 "채팅사이트 역시 기술적 조치가 없으면 유해매체물로 지정해야 하고, 청소년이 접근가능한 각종 우회로를 차단하는 조치가 이뤄져야 한다"고 지적했다. 5월 13일에 여성가족부는 안전한 채팅을 위한 기술적 조치로 △실명 인증 또는 휴대전화 인증, △대화 저장, △신고 기능 중 하나라도 없는 랜덤채팅앱을 청소년유해매체물로 지정하는 고시안을 행정예고했다. 그러나 이 고시안에는 '가가라이브'를 비롯한 대표적인 채팅사이트는 제외되었다. 여성가족부의 <2016년 성매매 실태조사>에 의하면 조건만남 경험 청소년 중 14%가 조건만남의 주요 경로 1순위로 채팅사이트를 꼽았다. 권 의원은 이날 "채팅사이트 역시 청소년 안전 조치를 취하지 않았을 시 청소년유해매체물로 지정해야 한다"고 강조했다. 2020년 청소년매체환경보호센터에서 실시한 랜덤채팅앱 전수조사에 따르면 랜덤채팅앱 운영기간은 1년 미만이 68%, 2년 미만이 93%에 달한다

배너
배너