이스트시큐리티 "의료 증명서 발급 위장 北 연계 해킹 포착"


정상적인 증명서 발급용 프로그램과 악성 파일이 동시에 설치돼

[아이뉴스24 김혜경 기자] 이스트시큐리티가 병·의료원 증명서 발급처럼 위장한 북한 연계 해킹 공격이 국내에서 포착됐다며 각별한 주의를 당부했다.

4일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 악성 파일은 지난달 25일 윈도(Windows) 64비트 기반으로 개발돼 이번달 실제 공격에 사용됐다.

건강 검진 결과서 조회 발급 내용으로 공격하는 화면 [사진=이스트시큐리티]

이번 공격은 실제 국내 병원 증명서 발급에 필요한 정상 플러그인 프로그램이 결합됐다는 점이 특징이다.

파일 내부에는 암호화한 형태로 2개의 리소스가 존재한다. 하나는 정상적인 병원 증명서 발급 프로그램이고, 나머지 다른 하나는 백도어(Backdoor) 기능을 수행하는 악성 파일이다. 두 개의 모듈이 동시에 설치되지만 컴퓨터 화면에는 정상 설치 화면만 보이게 된다.

ESRC 조사 결과 이번 공격은 지난달 국내 방송국 등에 '사내 금융업무 상세내역.zip' 파일로 수행된 지능형지속위협(APT) 공격과 일본국제문제연구소 보고서처럼 사칭한 공격 사건의 연장인 것으로 분석됐다.

당시 방송사 대상 공격에서 발견된 위협 지표 중에는 북한 표기식 단어인 '현시'와 공격자가 사용한 '프리헌터(Freehunter)' 계정, 명령 제어(C2) 서버인 'ms-work[.]com-info[.]store' 등의 고유 흔적이 나타났다. 특히 해당 위협과 연결된 침해사고에서 'KGH' 이니셜도 발견됐다.

병원 및 방송사 대상 공격용 악성코드 함수 비교 화면 [사진=이스트시큐리티]

이번 공격에 사용된 C2 서버는 'ms-work[.]com-pass[.]online' 도메인으로 앞서 언급한 특정 방송사 대상 공격 주소와 유사하고, 주요 함수 구조도 일치했다고 ESRC는 설명했다.

문종현 이스트시큐리티 ESRC 센터장은 "러시아 소행으로 알려진 데이터 파괴용 악성 파일이 우크라이나에서 다수 보고되고 있는 가운데 국내에서는 북한과 연계된 사이버 위협이 꾸준히 발견되고 있다"며 "대선을 앞두고 사회공학적 해킹 공격이 등장할 수 있으므로 각별한 대비가 필요하다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스