북한 추정 `금성121` 해킹 의혹...남북이산가족 전수조사 `사칭`

입력: 2018-07-04 11:34 이경탁 기자

폰트

북한과 연관되어 있는 것으로 추정되는 해커그룹이 남북이산가족 전수조사를 사칭해 사이버 공격을 진행 중인 것으로 드러났다.

이스트시큐리티는 이른바 정부지원 해커로 알려진 '금성121' 그룹이 공식적인 '남북이산가족찾기 전수조사' 내용으로 사칭한 해킹 이메일을 통해 APT(지능형지속위협) 공격을 수행하고 있다고 4일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC) 심기범 차장은 "이번 공격에 사용된 HWP 문서취약점은 기존 스타일에서 포스트스크립트 리버스 난독화 기법이 추가됐다"며 "문서 스트림에 암호화돼 숨겨진 최종 페이로드는 쉘코드 명령에 의해 작동 후 드롭박스 명령제어(C2)서버로 은밀하게 통신을 주고받는다고"고 설명했다.

일명 '작전명 미스터리 에그'로 명명된 이번 APT 공격은 주로 한국의 대북 관련 단체가 표적이 된 것으로 알려졌다. 특히 한국의 정부 기관을 사칭해 공식적인 업무협조 처럼 위장한 정황이 드러난 것으로 분석됐다.

또한 기존처럼 실행파일(EXE)이나 문서파일(HWP) 등을 직접 보내는 대신, 웹 언어(HTML) 파일을 첨부해 마치 보안 이메일의 첨부파일 처럼 조작한 새로운 공격 벡터를 활용하고 있다.

ESRC는 공격에 사용된 침해지표(IoC)에서 러시아 언어로 작성된 코드가 일부 확인됐고, 공격자는 의도적으로 러시아어 흔적을 남겨둔 것으로 보인다고 분석했다. 이는 거짓 플래그 기법을 활용해, APT 분석 연구원들이 공격 원점을 파악하는데 혼선을 주기 위한 목적으로 보인다.

문종현 ESRC 이사는 "마치 정부기관에서 공식적인 업무협조 요청이나 문의 내용 이메일로 위장된 교묘한 표적공격이 지속적으로 발생하고 있으며, 4.27 남북정상회담과 6.12 북미정상회담 이후에도 이른바 정부지원을 받는 것으로 추정되는 해커의 사이버 첩보전은 계속 이어지고 있어 절대 안심할 수 있는 단계는 아니다"고 말했다.이경탁기자 kt87@dt.co.kr

남북이산가족찾기 의뢰서 내용으로 위장한 악성파일 실행화면. 이스트시큐리티 제공

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

북한 추정 `금성121` 해킹 의혹...남북이산가족 전수조사 `사칭`

이 시간 핫클릭

핫 이슈!