문정인 대통령특보 강연 문서 위장 해킹 시도…北 추정

'대북 전망' 세미나 강연 내용 담아 '스피어피싱'


[아이뉴스24 김국배 기자] 문정인 대통령 통일외교안보특별보좌관이 지난주 미국 워싱턴DC에서 열린 '2020년 대북 전망' 세미나에 참석한 가운데 문 특보의 강연 문건을 사칭한 스피어 피싱 공격이 발견됐다.

북한 해킹 조직 중 하나인 '김수키'가 공격 배후로 추정되는 상황이다. 김수키는 2014년 한국수력원자력을 해킹한 조직이다.

14일 이스트시큐리티는 문 특보의 세미나 발표 문서처럼 꾸민 악성 파일이 발견됐다고 밝혔다. 세미나 관련 질의응답 내용 등을 담아 특정 관계자를 노린 '스피어피싱' 공격으로 보인다. 파일명은 '문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc'였다.

대통령 통일외교안보특보 발표 자료를 사칭한 악성 문서 파일 [자료=이스트시큐리티]

문 특보는 지난 6일(현지시간) 미국 싱크탱크 연구소가 연 세미나에서 북미 협상에 있어 미국이 더욱 유연한 자세를 보일 필요가 있다고 주장했다. 문 특보는 이날 정부 입장이 아닌 개인 자격의 발언임을 전제로 강연과 문답, 간담회를 가졌다.

문 특보가 강연한 지 불과 일주일만에 세미나 내용으로 위장한 지능형 지속 위협(APT) 공격이 일어난 것이다.

만약 수신자가 악성 파일을 열어 매크로를 허용할 경우 국내 특정 서버에서 추가 악성코드가 설치되고, 사용자PC의 시스템 정보, 최근 실행 목록, 실행 프로그램 리스트 등의 정보를 탈취당한다. 동시에 공격자의 추가 명령을 기다리는 '좀비 PC'로 전락한다. 좀비 PC가 되면 공격자가 원격제어 등 언제든지 추가 악성 행위를 시도할 수 있다. 다만 스크립트 형식에 일부 알파벳 오타가 있어 명령어가 제대로 수행되지 않는 경우도 있다.

앞서 김수키 조직은 지난해 4월에는 한미정상회담 관련 정부 관계자 발언, 10월에는 북한 난민 구출을 요청하는 내용을 사칭한 스피어 피싱 공격을 감행한 바 있다.

문종현 이스트시큐리티 이사는 "김수키 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 같아 해당 조직의 소행으로 추정된다"며 "업계 관계자들의 각별한 주의가 필요하다"고 당부했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스