3줄 요약
1. ‘정기점검서’와 ‘노트북 견적 문의’ 위장 악성메일 유포
2. 수신자 백도어 악성코드 감염...최근 김수키 공격서 자주 발견
3. 기업, 거래처 등 발신자 메일주소 확인해야

[보안뉴스 김경애 기자] 거래처 업무 메일로 위장한 북한 사이버공격이 포착됐다. 북 해커조직 김수키는 ‘정기점검서 송부 건’과 ‘노트북 견적 문의’ 악성메일로 수신자를 속여 접근, 악성코드에 감염시켰다. 기업에선 발신자 메일주소 확인에 주의가 요구된다.


▲정상 회신 메일(왼쪽)과 악성 회신 메일 비교 화면 [자료: 이스트시큐리티]

15일 관련 업계에 따르면 이번 공격은 이메일 수신자가 거래처와 업무상 메일을 주고받는 과정서 ‘김수키’(Kimsuky)가 악성메일을 회신, 수신자를 속였다.

김수키는 정기점검서 송부 건과 노트북 견적 문의 회신 메일에 도용 계정 사용, 발신자명을 조작해 동일 수신자에 발송했다.
 
정기점검서 송부 건 메일 경우, 먼저 발송된 정상 회신 메일과 동일 내용으로 첨부파일만 교체 발송했다.

두 악성메일 내부엔 MS-DOS 프로그램 실행 정보를 담은 PIF(Program Information File) 파일이 압축파일로 첨부돼 있다.

사용자가 PIF 파일을 실행하면 각각 정기점검서와 노트북 견적서인 정상 PDF파일을 띄우고, 백그라운드에선 백도어 악성코드가 실행된다.

악성코드는 과거 북한 ‘라자루스’(Lazarus) 조직이 사용, 최근 김수키 그룹 공격서 자주 발견됐다. 또 과거 김수키 그룹이 사용한 웹쉘과 동일하다.

기업에선 익숙한 거래처 업무 메일이라도 발신자 메일주소 확인은 필수다. 특히 EXE, DLL 확장자 등의 파일 실행에 주의해야 한다.
 
김병훈 이스트시큐리티 CTO는 “‘신뢰할 수 있는 경로’ 조차 위협 요소가 될 수 있어 기업은 사전 예방 보안 체계 구축에 총력을 기울여야 한다”며 “공격기법 진화로 다층적 방어전략과 공격자 사고방식에 기인한 내부 역량강화 교육이 필요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>