北 김수키, 코인관련 내용의 워드 문서를 이용한 APT 공격중

동일한 매크로 활용한 문서 3종 발견... 물류, 쇼핑, 가상자산 사업자 공격 수행

[보안뉴스 원병철 기자] 미국이 북한의 해킹그룹으로 지목한 김수키(Kimsuky) 그룹이 코인관련 내용의 워드 문서로 APT 공격을 수행중인 것을 안랩 ASEC 분석팀이 확인했다고 밝혔다. 공격에 사용된 미끼 문서는 총 3건이 확인됐으며, 매크로 제작자 및 동작방식은 지난 3월 14일에 발견됐던 제품소개서 위장 악성 워드 문서와 동일하다.

▲좌측부터 순서대로 주주물량관련.doc, 자산부채현황.doc, 제3차 정기총회.doc[자료=안랩]

확보된 3개 문서 모두 동일한 매크로를 사용했으며, 지난 제품소개서 위장 악성 워드문서에서 발견됐던 ‘temp.doc’ 매크로 코드와 기능이 일치했다. ‘no1.bat’ 파일을 생성하는 주체는 수집된 문서 파일이 아닌 다른 문서에 의해 생성된 것으로 추정된다. 이는 매크로 사용 버튼 클릭을 유도하는 문서의 매크로에 의해 생성된 것으로 보인다.

결과적으로 제품소개서로 위장한 악성 워드 문서의 유포 방식과 이번 사례의 유포 및 동작 방식은 완전히 일치했다. 따라서 해당 공격 그룹은 현재 물류, 쇼핑뿐만 아니라 가상자산 사업자에도 공격을 수행하고 있는 것으로 보인다.

사용자는 출처가 불분명한 워드 파일 실행 시 ‘콘텐츠 버튼’ 같은 문구가 확인될 경우 악성 워드 문서일 가능성이 있으므로, 콘텐츠 사용 버튼을 클릭하는 데 각별한 주의가 필요하다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)