"믿는 도끼에 발등 찍힌다"…'심리 교란' 사이버 공격 주의보


우크라이나 SSSCIP 사칭 피싱 메일…카톡방서 유포되는 'docx 악성문서'

[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공이 수개월 째 지속되고 있는 가운데 최근 우크라이나 정보보호 당국을 사칭한 피싱 메일이 유포되면서 사회공학적 사이버 공격이 다시 활개를 치고 있는 모양새다.

한국에서도 카카오 서비스 장애·이태원 참사를 악용한 악성코드에 이어 특정 카카오톡 단체대화방(단톡방)을 중심으로 docx 형식의 악성문서가 유포되는 등 주의가 요구된다.

우크라이나 특수통신‧정보보호국(SSSCIP)과 침해사고대응팀(CERT-UA)에 따르면 최근 SSSCIP를 사칭한 피싱 이메일이 유포되고 있다. 사진은 악성 메일 분석 이미지. [사진=SSSCIP]
우크라이나 특수통신‧정보보호국(SSSCIP)과 침해사고대응팀(CERT-UA)에 따르면 최근 SSSCIP를 사칭한 피싱 이메일이 유포되고 있다. 사진은 악성 메일 분석 이미지. [사진=SSSCIP]

13일 우크라이나 특수통신‧정보보호국(SSSCIP)과 침해사고대응팀(CERT-UA)에 따르면 최근 우크라이나 내에서 악성링크가 포함된 대량의 피싱 이메일이 탐지됐다. 이메일 전송은 'the@mail.gov.ua'로 수행되고 있으며, SSSCIP를 사칭하고 있다는 점이 특징이다.

CERT-UA는 "링크를 클릭하면 자바스트립트(JavaScript) 코드가 포함된 HTML 파일이 다운로드되고 피해자 컴퓨터에 RAR 아카이브(archive)가 생성된다"며 "예를 들자면 '08.11.2022.rar' 형태"라고 전했다.

CERT는 이번 공격 배후로 '아마겟돈(Armageddon)'을 지목했다. 아마겟돈은 러시아의 물리적 침공이 시작된 이후 왕성한 활동력을 보여주는 해커집단 중 하나다. 러시아 연방보안국(FSB)와 연계된 것으로 알려졌으며, 우크라이나 일반인을 대상으로 민감한 주제를 악용한 피싱 공격을 감행하고 있다. 사회공학적 기법을 이용한 사이버 공격이 이들의 특기인 셈이다.

맨디언트에 따르면 올해 2월 말부터 3월까지 'UNC1151'과 'UNC2589'로 명명된 해커집단이 우크라이나 공공기관‧기업에 '일제 사격 시스템 포격 – 어떻게 해야 하는가', '대피 계획' 등의 악성 문서가 첨부된 이메일을 발송했다. 사회적 이슈 혹은 긴급한 내용을 다룬 이메일은 수신자가 열람할 가능성이 높기 때문이다.

해당 유형의 공격은 시스템이 아닌 인간을 노린다. 사회적 관심도가 높은 사안을 악용해 심리를 자극하는 방식이다. 과거에는 문자나 이메일로 수단이 한정됐지만 스마트폰 보급과 소셜미디어(SNS) 활성화로 목표물 접근이 쉬워지면서 효율적인 공격 기법으로 자리잡았다.

일반적으로 이메일에 첨부된 링크를 클릭하거나 파일을 내려받게 되면 악성코드에 감염된다. 이 과정에서 공격자는 빼돌린 개인정보를 이용해 계정 탈취를 시도한다. 다크웹 등에서 이미 유출된 정보를 기반으로 다른 웹사이트에 무작위로 대입해 계정을 훔치기도 한다.

계정 탈취와 개인정보 유출로 끝내지 않고 판매로도 이어진다. 기존 노출된 정보를 조합하거나 지속적인 정보 수집을 통해 크리덴셜(Credential)을 확보한다. 크리덴셜은 특정 시스템에 접근하거나 물리적 공간에 입장하기 위한 코드 혹은 출입증을 뜻한다. 이는 다시 사회공학적 기법을 이용한 공격으로 이어지는 셈이다.

한국에서도 이 같은 유형의 사이버 공격이 연이어 포착되고 있다. 지난달 20일 '내PC 돌보미' 서비스 프로그램으로 위장한 악성코드가 발견됐다. 해당 서비스는 이 운영하는 보안 취약점 점검 무료 서비스다. 악성코드 감염 피해가 발생했다면 국민 누구나 컴퓨터, 스마트폰 등에 대한 점검 서비스를 받을 수 있다.

해당 악성파일은 KISA를 사칭한 도메인을 통해 'kisa-down[.]com/mypc_care.zip' 등의 압축파일 형태로 유포되고 있다. 보안 점검 사이트로 위장한 이유는 앞서 정부 차원에서 해킹 관련 공지를 배포하고, 초기 공격을 차단함에 따라 이용자의 의심을 완화하기 위한 조치로 추정된다.

최근 대북‧외교‧안보 분야 전문가들이 참여하고 있는 단톡방에서 docx 형식의 악성파일이 발견됐다. 사진은 해당 분야 단톡방에서 한 참여자가 올린 보안 공지. [사진=독자 제공]
최근 대북‧외교‧안보 분야 전문가들이 참여하고 있는 단톡방에서 docx 형식의 악성파일이 발견됐다. 사진은 해당 분야 단톡방에서 한 참여자가 올린 보안 공지. [사진=독자 제공]

대북‧외교‧안보 등 100여명의 전문가들이 참여하고 있는 특정 단톡방에서는 docx 형식의 악성파일이 발견됐다. 해당 악성파일은 변종에 따라 'ms-office[.]services'와 'offices.word-template[.]net' 원격지에서 추가 파일을 받아 실행한다. 단톡방에서 파일을 열람할 경우 명령제어 서버에서 다운로드가 실행되고 공격자의 의도에 따라 사용자 기기에 악성코드가 설치될 수 있다.

지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 발견된 바 있다. 공격자는 실제 중앙재난안전대책본부(중대본)가 배포한 이태원 참사 관련 보고서를 모방했다. 당시 공격자가 사용한 명령제어 서버는 'ms-offices[.]com'으로 확인됐다.

악성문서가 이메일 형태가 아닌 메신저 채팅방에서 유포된다는 점에서 각별한 주의가 요구된다. 공격자가 기존 단톡방 참여자의 계정을 탈취해 악성 문서를 공유하고 있다는 점에서 피해가 확대될 가능성이 크기 때문. 이 과정에서 공격자는 또 다른 단톡방 참여자의 계정을 해킹해 공격에 이용하는 방식이다. 보안업계는 북한을 공격 배후로 추정하고 있다.

익명을 요구한 한 보안전문가는 "이태원 참사 관련 악성코드 공격과 이번에 단톡방에서 포착된 공격을 비교했을 때 명령제어 서버 주소 형식이 비슷하다는 점에서 변종 공격으로 보인다"며 "공격자는 대북‧외교‧안보 관련 보고서와 설문지 등으로 위장한 악성 docx 문서를 단톡방에 유포하고 있는 상황"이라고 말했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스