기존 한글 문서 취약점 악용 등
설 선물 위장한 APT 공격 포착
통일부 기자에 악성코드 메일도
남북관계 해빙기에도 불구하고 북한 발 사이버 공격이 지속되고 있다. 북한이 올 들어 '요인암살' 특수작전대를 창설하고, 사이버 부대를 통한 공작을 펼치고 있는데도 불구하고, 국가정보원이 운영하는 국가 사이버테러경보 시스템은 작년 3월부터 '정상' 단계로 유지되고 있는 실정이다.
27일 국내외 보안업계에 따르면, 북한 배후로 추정되는 사이버 공격이 한국을 포함해 전 세계 곳곳에서 포착되고 있다.
최근 보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 설 명절을 앞두고 설 선물 내용으로 위장한 지능형 지속 위협(APT) 공격을 포착했다고 알약 블로그에 밝혔다.
공격에 이용된 악성파일은 '홍삼6품단가'라는 파일명을 가진 xlsx 파일이다. 설 연휴를 노리고 사회공학적 기법을 결합한 스피어피싱 공격에 활용됐을 것으로 추정된다. 이번 공격은 종전처럼 한글(HWP) 문서파일 대신 MS(마이크로소프트) 오피스 엑셀 문서파일의 취약점을 악용했다.
ESRC는 "기존 한글 문서의 취약점을 악용한 악성파일에서 발견된 특정 계정이 이번에도 동일하게 사용됐다"며 "추가로 생성되는 악성 EXE 파일 역시 이전 공격에 이용됐던 것과 마찬가지로 국내 보안프로그램 아이콘으로 위장한 점이 일치했다"고 설명했다.
ESRC는 이를 근거로 이번 APT 공격이 작년 8월께 발견된 'Operation Rocket Man' 공격을 수행한 동일 해킹그룹 '금성121'의 소행으로 확신했다. 국내 보안업계서는 금성121의 배후에 북한 정부가 있는 것으로 분석한다.
금성121은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다. 문종현 ESRC 이사는 "올 초부터 특정 정부 지원을 받는 해킹그룹이 특정 사용자층이 현혹될 만한 키워드와 내용을 이용해 은밀한 APT 공격을 수행하고 있어 각별한 주의가 필요하다"고 당부했다.
글로벌 보안업체 맥아피는 지난해 북한과 연관된 것으로 추정되는 해커그룹이 탈북자와 언론인 등을 겨냥해 악성 코드가 담긴 스마트폰용 앱을 유포 중이라고 밝힌 바 있다. 해커 조직은 페이스북 등에 가짜 계정을 만들어 탈북자를 유인하는 것으로 알려졌다.
실제 이를 노린 해킹 공격이 연달아 발생하고 있다. 지난 7일 통일부 기자단에 악성코드가 담긴 것으로 의심되는 메일이 배포됐다. 통일부를 출입하고 있거나 과거 출입했던 언론사 취재기자 70여 명에게는 'TF 참고자료'라는 제목의 메일이 일괄 발송됐다.
이에 앞서, 통일부가 작성한 김정은 북한 국무위원장 신년사 평가자료라며 이메일을 보내 PC를 악성코드에 감염시키는 사이버 공격이 최근 발견돼 당국이 수사에 나선 바 있다. 작년 11월에도 경북하나센터에서 사용하는 PC 1대가 악성코드에 감염돼, 컴퓨터에 저장돼 있던 지역 거주 탈북민 997명의 이름과 생년월일, 주소 등 개인정보가 담긴 자료가 유출됐다.
이경탁기자 kt87@dt.co.kr
설 선물 위장한 APT 공격 포착
통일부 기자에 악성코드 메일도
남북관계 해빙기에도 불구하고 북한 발 사이버 공격이 지속되고 있다. 북한이 올 들어 '요인암살' 특수작전대를 창설하고, 사이버 부대를 통한 공작을 펼치고 있는데도 불구하고, 국가정보원이 운영하는 국가 사이버테러경보 시스템은 작년 3월부터 '정상' 단계로 유지되고 있는 실정이다.
27일 국내외 보안업계에 따르면, 북한 배후로 추정되는 사이버 공격이 한국을 포함해 전 세계 곳곳에서 포착되고 있다.
최근 보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 설 명절을 앞두고 설 선물 내용으로 위장한 지능형 지속 위협(APT) 공격을 포착했다고 알약 블로그에 밝혔다.
공격에 이용된 악성파일은 '홍삼6품단가'라는 파일명을 가진 xlsx 파일이다. 설 연휴를 노리고 사회공학적 기법을 결합한 스피어피싱 공격에 활용됐을 것으로 추정된다. 이번 공격은 종전처럼 한글(HWP) 문서파일 대신 MS(마이크로소프트) 오피스 엑셀 문서파일의 취약점을 악용했다.
ESRC는 "기존 한글 문서의 취약점을 악용한 악성파일에서 발견된 특정 계정이 이번에도 동일하게 사용됐다"며 "추가로 생성되는 악성 EXE 파일 역시 이전 공격에 이용됐던 것과 마찬가지로 국내 보안프로그램 아이콘으로 위장한 점이 일치했다"고 설명했다.
ESRC는 이를 근거로 이번 APT 공격이 작년 8월께 발견된 'Operation Rocket Man' 공격을 수행한 동일 해킹그룹 '금성121'의 소행으로 확신했다. 국내 보안업계서는 금성121의 배후에 북한 정부가 있는 것으로 분석한다.
금성121은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다. 문종현 ESRC 이사는 "올 초부터 특정 정부 지원을 받는 해킹그룹이 특정 사용자층이 현혹될 만한 키워드와 내용을 이용해 은밀한 APT 공격을 수행하고 있어 각별한 주의가 필요하다"고 당부했다.
글로벌 보안업체 맥아피는 지난해 북한과 연관된 것으로 추정되는 해커그룹이 탈북자와 언론인 등을 겨냥해 악성 코드가 담긴 스마트폰용 앱을 유포 중이라고 밝힌 바 있다. 해커 조직은 페이스북 등에 가짜 계정을 만들어 탈북자를 유인하는 것으로 알려졌다.
실제 이를 노린 해킹 공격이 연달아 발생하고 있다. 지난 7일 통일부 기자단에 악성코드가 담긴 것으로 의심되는 메일이 배포됐다. 통일부를 출입하고 있거나 과거 출입했던 언론사 취재기자 70여 명에게는 'TF 참고자료'라는 제목의 메일이 일괄 발송됐다.
이에 앞서, 통일부가 작성한 김정은 북한 국무위원장 신년사 평가자료라며 이메일을 보내 PC를 악성코드에 감염시키는 사이버 공격이 최근 발견돼 당국이 수사에 나선 바 있다. 작년 11월에도 경북하나센터에서 사용하는 PC 1대가 악성코드에 감염돼, 컴퓨터에 저장돼 있던 지역 거주 탈북민 997명의 이름과 생년월일, 주소 등 개인정보가 담긴 자료가 유출됐다.
이경탁기자 kt87@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0