북한 해킹조직으로 알려진 김수키(Kimsuky)가 최근 코로나19 바이러스를 미끼로 해킹을 시도했다고 데일리NK가 23일 전했다.

국내 보안업체 이스트시큐리티(ESRC) 지난 21일 “코로나19 바이러스 이슈를 악용한 김수키 조직의 APT(지능형 지속위협) 공격이 또 한 번 포착됐다”며 “이번에 발견된 악성 파일은 ‘COVID-19 and North Korea.docx’ 파일명으로 유포됐다”고 전했다.

파일명을 전 세계적으로 유행하고 있는 코로나(COVID)-19로 설정, 사용자의 호기심을 끌어내려는 수법니다. 특히 정보가 거의 없는 북한의 코로나19 내용인 것처럼 파일명을 만들어 사용자들의 클릭을 유도하고 있다.

김수키는 지난달 말에도 코로나19 바이러스를 매개로 해 공격을 시도한 바 있다.

ESRC는 “이번에 발견된 (워드) 파일을 실행하면, 공격자가 미리 설정해 놓은 C2(Command & Control )서버로 연결된다”며 “이 워드 파일에는 악성 매크로가 포함되어 있어 사용자의 실행을 유도한다”고 설명했다

이어 “만약 사용자가 ‘콘텐츠 사용’을 클릭하게 되면, ‘Dear Friends’로 시작하는 내용의 워드 파일 내용이 보인다”며 “이는 정상 파일처럼 보이도록 위장한 것으로, 백그라운드에서는 워드 파일에 포함되어 있던 악성 매크로가 동작을 하게 된다”고 말했다.

이는 사용자가 해킹을 당했다는 것을 인지하지 못하게 하려는 의도다

이번 공격은 맥 OS 사용자를 대상으로 진행됐다는 점에서 기존과는 차이점이 있다. 보통 악성코드나 바이러스를 제작하는 사람들은 주로 사용자가 압도적으로 많은 윈도우 OS를 노렸다. 그러나 최근 맥 OS를 이용자가 많이 늘어나자 공격을 시도한 것으로 보인다. 여기에 상대적으로 악성코드에 안전한 OS라는 사용자들의 심리를 노렸을 가능성도 있다.

ESRC는 “이번 공격에서 특이한 점은, 윈도우 OS가 아닌 맥 OS의 MS(마이크로소프트) 오피스의 이용자를 타깃으로 하고 있다는 점이다”며 “악성 파일을 실행한 사용자의 (컴퓨터) 환경이 맥 OS에 MS 오피스 맥 버전이 설치된 경우, 공격자에게 사용자 정보가 수집될 수 있다”고 전했다.