中 해커, 韓 언론·게임사 노린다… “이력서 열면 악성코드”

가 +
가 -

최근 중국인으로 추정되는 지능형 지속 위협(APT) 그룹이 한국 특정 온라인 게임사 및 언론사를 대상으로 ‘스피어 피싱’ 공격을 한 정황이 다수 포착됐다.

20일 보안업체 이스트시큐리티에 따르면 지난 4월부터 최근까지 외부에 공개된 한국 언론·게임사 그룹메일 계정을 대상으로 한 중국 APT 그룹의 공격이 급증했다.

해킹 공격에 사용된 악성 문서와 사진 화면. /사진=이스트시큐리티 제공

관련 해커들은 수신자가 쉽게 현혹될 만한 워드파일 문서를 사용했다. 주로 ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등의 파일명을 사용한 것으로 확인됐다. 최근에는 회사 내부 사내 문서 및 이력서로 위장한 파일을 배포한 것으로 알려졌다.

이스트시큐리티 대응센터(ESRC)는 악성 파일 대부분이 중국어를 기반으로 작성됐고 문서 제작자가 ‘coin***’이라는 동일 이름을 사용한 것이 특징이라고 밝혔다.

발견된 악성 문서는 처음 실행한 후 개인 정보 옵션 화면처럼 조작한 이미지를 보여준다. 보안 및 개인 정보보호를 위해 매크로 실행이 필요하다는 식으로 ‘콘텐츠 사용’ 기능을 허용하도록 유도한다.

그러나 이는 실제 악성코드가 담긴 원격 템플릿 매크로 파일을 호출하고 실행하는 기능이다. 콘텐츠 사용 버튼을 누르면 보안 위협에 노출돼 추가 공격으로 인한 피해를 당할 수 있다. 해당 공격 기법은 다양한 국제 사이버 위협 조직들이 활용하고 있는데 ‘라자루스’ 그룹도 최근 적극적으로 사용하고 있다.

ESRC는 지난 18일 새로 발견된 공격에 특정인의 이력서, 주민등록증, 학위증 같은 개인정보가 포함됐다고 설명했다. 개인정보를 노출시킴에 따라 수신자가 해당 파일을 신뢰하도록 만든 후 추가 공격을 수행했다는 분석이다.

문종현 이스트시큐리티 ESRC 센터장은 “해당 APT 공격 그룹은 한국 특정 회사의 디지털 서명을 사칭해 보안 위협 모니터링 탐지 회피를 시도하고 있다”며 “지금은 다소 어눌한 한국어로 위협을 가하고 있지만 공격 성공률을 높이기 위해 갈수록 정교화된 방식으로 발전할 수 있어 각별한 대비와 주의를 기울여야 한다”고 당부했다.