‘마스크 정보’ 위장한 악성 문서 주의보

악성코드 설치해 주요 정보 빼내… 北관련 해킹조직 소행 추정

보안 전문업체 이스트시큐리티가 마스크 관련 문서로 위장한 악성코드가 심어져 있는 문서가 유포되고 있다며 22일 주의를 당부했다.

이스트시큐리티에 따르면 이 문서는 북한 정부의 후원을 받는 것으로 추정되는 지능형지속위협(APT) 공격 그룹 ‘코니’의 소행으로 확인됐다. 문종현 이스트시큐리티 시큐리티대응센터장은 “이번에 발견된 문서는 MS워드로 작성됐으며, 한국어 기반 시스템 환경에서 4월 21일에 생성된 것으로 추정된다”며 “활용된 공격 벡터와 코드 기법 등을 분석한 결과 코니의 공격임을 확인했다”고 설명했다.

이 악성 문서는 ‘guidance’라는 파일명을 사용하고 있다. 이 악성 문서를 열어보면 최초에는 문서 내용이 제대로 보이지 않고, 문서 내용 확인을 위해 상단에 나타난 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 버튼을 클릭하면 마스크 관련 내용을 보여주면서 미리 설정해둔 악성 매크로 코드로 사용자 몰래 악성코드를 설치하고 주요 정보를 탈취한다.

유근형 기자 noel@donga.com