[아이뉴스24 성지은 기자] 이스트시큐리티(대표 정상원)는 북한이 배후에 있는 것으로 추정되는 해커그룹 '금성121'이 남북 이산가족 찾기 전수조사 내용을 사칭한 해킹 이메일로 지능형지속위협공격(APT)을 단행하고 있다고 4일 경고했다.
이스트시큐리티 시큐리티대응센터(ESRC) 조사에 따르면, 이번 메일은 한국의 정부 기관을 사칭해 공식적인 업무 협조처럼 위장했다. 국내 대북 관련 단체가 APT 공격의 주요 표적이 됐다.
기존 스피어피싱(특정한 개인이나 단체를 대상으로 한 공격) 메일은 실행파일(EXE)이나 문서파일(HWP)을 메일에 첨부하고, 사용자가 이를 열람하도록 유도해 악성코드에 감염시킨다.
그러나 이번 공격은 보안이 적용된 것처럼 위장한 웹언어파일(HTML)을 악용했다. 사용자가 HTML 파일을 내려받아 실행하면 내부에 숨겨진 HWP 파일이 보인다.
만약 HWP를 내려받아 실행하면 악성코드에 감염된다. 악성코드에 감염된 PC는 드롭박스 명령제어(CC)서버와 통신하는 좀비 PC가 된다. 해커가 PC에서 정보를 빼가거나 마음대로 제어할 수 있다는 의미다.
ESRC는 공격에 사용된 침해지표(IoC)에서 러시아 언어로 작성된 코드 일부를 확인했다. 해커가 교란을 목적으로 의도적으로 러시아어를 남긴 것으로 추정된다.
이번 공격은 '작전명 미스터리 에그(Operation. Mystery Egg)'로 명명됐다.
문종현 이스트시큐리티 ESRC 이사는 "이번 공격은 기존 스피어피싱처럼 문서파일을 직접적으로 첨부해 유포했던 수법과 달리 보안이 적용된 파일처럼 위장한 HTML 파일을 사용하고 있는 것이 특징"이라고 설명했다.
이어 "정부기관에서 공식적인 업무협조 요청이나 문의 내용 이메일로 위장된 교묘한 표적공격이 지속적으로 발생하고 있다"며 "4.27 남북정상회담과 6.12 북미정상회담 이후에도 이른바 정부지원을 받는 것으로 추정되는 해커의 사이버 첩보전은 이어지고 있어 안심할 수 있는 단계가 아니다"고 부연했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기