화면낭독기 사용시 다음 링크들을 이용하면 더 빠르게 탐색할 수 있습니다.
 
즐겨찾기 문화일보 PDF

`방위산업체 망 분리 요청`...기관문서로 위장한 악성파일 `기승`

 

이경탁 기자 kt87@dt.co.kr | 입력: 2018-07-06 14:22

원본사이즈   확대축소   인쇄하기메일보내기         트위터로전송 페이스북으로전송 구글로전송
이스트시큐리티는 최근 문서파일 취약점을 이용한 APT(지능형지속위협) 공격 정황이 연이어 발견되고 있는 가운데, '한국 방산업체 망 분리 관련 요청사항'처럼 사칭한 악성코드가 발견돼 각별한 주의가 필요하다고 6일 밝혔다.

공격에 사용된 악성 문서 파일은 한국시각(UTC+09) 기준으로 2018년 7월 4일 오후 9시 50분경 제작돼, 지난 5일 최초로 발견됐다.

HWP 취약점 작동 방식을 상세히 분석한 시큐리티대응센터(ESRC) 소속의 악성코드 분석가 강석권 대리는 "문서 스트림 내부에 XOR코드로 암호화된 포스트스크립트 셸코드(Shellcode)가 작동하면 BMP 이미지 포맷에 정교하게 숨겨져 있는 악성 모듈이 실행되고, 한국 소재의 특정 호스트로 은밀하게 통신을 시작해 추가 명령 대기 및 잠복을 수행한다"고 설명했다.

특히 특정 방위산업체 망 분리 관련 요청사항 처럼 사칭한 문서를 사용한 것으로 미뤄보아, 관계된 업무 종사자나 업체들을 상대로 한 표적 공격일 가능성을 열어 두고 관계 기관들과 공조해 협력 대응체계를 유지하고 있다.

문종현 ESRC 이사는 "최근 국내에 특화된 한국 맞춤형 스피어 피싱 공격 정황이 지속적으로 포착되고 있으며, 정부기관 문서 사칭뿐만 아니라 방위산업 관련 문서 내용까지 악용되는 만큼 보다 세심한 관심과 주의가 필요하다"고 말했다. 이경탁기자 kt87@dt.co.kr

`방위산업체 망 분리 요청`...기관문서로 위장한 악성파일 `기승`
방위산업체 망 분리 관련 요청사항의 악성 문서파일 실행화면. 이스트시큐리티 제공



[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
DT Main
선풀달기 운동본부