[아이뉴스24 최은정 기자] 유럽계 보안 기업 제품의 업데이트로 사칭한 사이버 공격이 최근 발견돼 사용자 주의가 요구된다.
28일 관련 업계에 따르면 지난 25일 슬로바키아에 본사를 둔 보안 기업 '이셋'의 보안 프로그램 업데이트 창으로 위장한 악성 파일이 발견됐다. 이번 파일이 어떤 경로를 통해서 유포됐는지 여부는 아직 확인되지 않은 상태다.
이번 가짜 업데이트 창에는 영문으로 'The program has been successfully installed! Your computer is safe now(프로그램이 성공적으로 설치됐습니다, 당신의 컴퓨터는 이제 안전합니다)'라는 문구가 적혀있다.
![지난 25일 발견된 이셋 보안 프로그램 사칭 악성파일 [제공=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202004/1588056878727_1_155535.jpg)
만약 사용자가 오른쪽 하단에 위치한 '확인' 버튼을 클릭하면 감염된 악성코드가 작동하고, 공격자의 명령제어(C2) 서버(general-second.org-help[.]com)와 통신을 시도하게 된다. 이어 추가 명령으로 악성행위가 지속, 사용자 PC 운영체제(OS) 등 개인정보가 해커에게 넘어간다.
이와 관련 일부 보안 업계는 이번 공격 배후에 북한 연계 추정 지능형지속위협(APT) 조직인 김수키가 있을 것으로 보고 있다.
실제로 이스트시큐리티 ESRC(시큐리티대응센터)는 이번 공격에 사용된 C2 도메인이 지난 2월 김수키 조직이 사용한 도메인 정보와 유사하다는 근거를 들어 이 같이 주장했다.
특히 이번에 사용된 악성 도메인 등록자는 'Unming Jane'으로 동일했으며, 등록자 연락처도 국가 번호를 뺀 나머지 숫자가 '16533907253'으로 같았다는 설명이다.
![지난 2월 김수키 조직이 사용한 도메인(왼쪽)과 이번 공격에 사용된 도메인 비교 자료 [제공=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202004/1588056879791_2_155926.jpg)
김수키가 보안 프로그램으로 위장해 감행한 공격은 이번이 처음은 아니다. 앞서 안랩 ASEC(시큐리티대응센터)는 지난해 11월 포털 사이트 '네이버'와 '다음'의 보안 프로그램으로 위장한 악성코드를 발견했다는 분석 결과를 발표하기도 했다. 당시 ASEC은 해당 공격 배후에 김수키 조직이 있을 것으로 추정했다.
문종현 이스트시큐리티 ESRC 이사는 "최근 라자루스, 김수키 등 특정 정부 후원을 받는 APT 그룹이 전방위적으로 사이버 공격을 진행중"이라며 "특히 이번 유형의 공격은 사람들을 안심시킬 수 있지만 실제로는 악성코드 공격에 불과하다"고 주의를 당부했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기