지난 1월 초 통일부 기자단을 공격했던 해커 그룹 '김수키'가 최근 국내 외교·안보 종사자를 대상으로 해킹을 시도하고 있는 것으로 밝혀졌다.
보안 전문 기업 이스트시큐리티(대표 정상원)는 시큐리티대응센터(ESRC)에서 외교 안보 관련 자료를 위장한 스피어 피싱 이메일 공격을 포착했다고 3일 밝혔다.
ESRC에 따르면 이번 스피어 피싱 이메일 공격은 지능형 지속 위협(APT) 공격으로, 주로 외교, 안보, 통일 분야 및 대북, 탈북 단체 종사자를 대상으로 유포되고 있다.
이번 공격은 ESRC가 지난달 21일 보고한 워터링 홀 공격 '오퍼레이션 로우 킥' 공격 조직과 동일한 조직인 김수키의 소행으로 분석됐다.
ESRC는 이번 공격을 작전명 ‘오퍼레이션 스텔스 파워'로 명명하고 분석 결과를 발표했다. 이번 공격은 ‘최근 한반도 관련 주요국 동향.hwp', ‘3.17 미국의 펜타곤 비밀 국가안보회의.hwp’ 등 외교, 안보 분야 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자에게 발송하고 있다.
공격 조직은 이번 공격에서 ‘DLL’, ‘EXE’ 확장자의 악성 파일을 2차 다운로드해 PC를 감염시키는 방식이 아닌 다른 수법을 활용했다.
만약 수신자가 공격에 사용된 첨부 파일을 열람하면 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버에 올려진 파워쉘 코드를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행한다. 이를 통해 각종 정보를 탈취하게 된다.
이메일 본문은 유창한 한국어로 작성돼 있으며 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울인 것처럼 위장하는 등 이메일 수신자가 정상적인 자료 파일로 착각하게끔 유도하는 고도화된 수법을 사용했다.
이스트시큐리티는 특히 hwp 문서 작성 프로그램에서 제공하는 파일 암호 설정 기능을 적용한 것에 대해 이메일 수신자의 신뢰를 얻는 목적 외 암호를 알기 전 소스 코드 분석이 불가능한 점을 악용, 보안 프로그램의 파일 악성 여부 판단을 방해하는 목적도 있는 것으로 분석했다.
이 밖에도 파일 내부의 일부 데이터가 일요일인 지난달 31일에 생성된 것으로 나타나, 공격 조직이 주말에도 활발하게 공격을 위한 작업을 수행하고 있는 것으로 추정했다.
문종현 ESRC센터장 이사는 “특정 기관, 단체, 기업 종사자만을 표적해 악성 이메일을 발송하는 스피어 피싱 공격은 향후에도 지속적으로 이어질 것으로 판단된다”며 “출처를 알 수 없는 URL, 이메일 첨부파일 등을 열어보지 않는 등 가장 기본적이지만 놓치기 쉬운 보안 수칙 준수를 습관화하는 자세가 반드시 필요하다”고 당부했다.
관련기사
- "1월초 통일부 기자단 공격한 해커그룹, 아직도 활동중"2019.04.04
- "백신 탐지 우회하는 PC 트로이목마, 악성메일로 확산 중"2019.04.04
- 지방 경찰서 출석통지 위장한 랜섬웨어 유포 주의보2019.04.04
- "지난해 알약 차단 랜섬웨어공격 140만건"2019.04.04
현재 이스트시큐리티는 한국인터넷진흥원과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다.
보안 백신 프로그램 '알약'에서 공격에 사용된 악성코드를 탐지, 차단하도록 긴급 업데이트도 완료한 상태다.