중국해커의 소행으로 추정되는 가짜 이력서 화면. 상단의 ‘콘텐츠 사용’ 버튼을 클릭하면 PC가 악성코드에 감염된다. /사진=이스트시큐리티
국내 기업에 중국 해커의 공격이 급증하고 있다. 공격도 기업의 사업분야와 관련있는 점을 노린 ‘지능형 지속 위협’(APT) 형태로 이뤄져 기업의 보안 강화와 이용자의 주의가 요구된다.

20일 이스트시큐리티는 지난달부터 한달가량 국내 특정 온라인 게임사, 언론사 등을 상대로 다소 어눌한 표현으로 작성된 이메일 스피어 피싱 공격이 다수 발견됐다고 밝혔다. 주 공격대상은 외부에 이메일이 공개된 사람이다.

해커는 악성코드가 담긴 워드프로세서 파일(*.docx)을 첨부해 사용자들의 클릭을 유도한다. 파일 명은 ‘직원 활동 보너스 신청서.docx’, ‘직무 요구와 대우.docx’ 등이며 회사 내부의 사내 문서나 이력서 등을 사칭한 파일도 존재한다.

공격 메일에 첨부된 파일. 학위기라는 다소 어색한 한글을 사용한다. /사진=이스트시큐리티
APT 방식은 공격 대상이 흥미를 가질만한 내용을 포함한다. 이를테면 무역회사에는 선적서류를 사칭한 메일이 전송되고 기업 인사담당자에는 이력서를 사칭한 메일로 흥미를 끄는 방식이다. 이 악성파일을 실행하면 마치 개인정보 옵션 화면처럼 조작된 이미지를 화면에 출력하고 화면 상단에 등장하는 ‘콘텐츠 사용’ 버튼을 누르도록 유도한다. 이 버튼을 누르면 파일에 저장된 매크로가 작동하며 PC가 악성코드에 감염된다.

이스트시큐리티 측은 이번에 발견된 악성파일이 중국어 기반 운영체제 환경에서 작성됐다며 악성파일 작성자가 ‘Coin***’으로 동일하다고 설명했다.

문종현 이스트시큐리티 ESRC 센터장 이사는 “이번에 포착된 APT 공격그룹은 한국 기업의 디지털 서명을 사칭해 보안위협 모니터링 탐지 회피를 시도한다”며 “아직은 온라인 번역기 수준의 어눌한 한국어로 위협을 가하지만 공격성공률을 높이기 위해 정교한 방식으로 진화할 수 있기 때문에 주의가 필요하다”고 말했다.