통일부 정세분석총괄과에서 보낸 것처럼 위장한 메일로 악성코드를 설치하는 방식의 지능형지속위협(APT) 공격이 포착됐다.
이는 지난 1월 초 통일부 기자단을 공격했던 해커 그룹 '김수키'가 지속적으로 국내 외교·안보 종사자를 노리면서 추가로 보인 행보라는 분석이다.
이스트시큐리티센터(ESRC)는 이같은 내용을 담은 보고서를 20일 발표했다.
ESRC는 한국을 대상으로 한 몇몇 지능형지속위협(APT) 배후에 특정 정부가 조직적으로 가담하고 있으며, 수 년간 사이버 작전을 진두지휘하고 있는 것으로 분석했다.
공격자는 '통일부 정세분석총괄과 000입니다.'라는 제목을 통해 신원을 사칭했다.
해당 공격의 경우 수신자 계정과 동일한 포털사 이메일 서비스를 활용했다. 때문에 '메일서버 등록제(SPF), 도메인키식별메일(DKIM), 도메인 기반 메시지 인증·보고·준수(DMARC) 등의 사전 차단 기술로 막기 어렵다는 설명이다.
이메일 본문에서는 외부 신고 또는 공격 흔적이 남는 것을 막기 위해 확인 후 꼭 삭제하라는 당부도 덧붙였다.
회신 기한을 정해 첨부된 파일을 빨리 열어보도록 심리적 압박을 가한 점도 특징이다. 첨부 파일 '참고자료'는 악성 HWP 문서 파일로, 악의적 코드를 포함하고 있다. 파일에는 열 자리의 특정 암호문자가 설정돼 있고 문서 작성자는 '임병철'로, 마지막 저장자는 계정 이름 'MESSI'로 기록돼 있다.
문서 작성자 이름인 '임병철'은 김수키가 악성 문서 파일에 자주 사용하는 이름이다.
악성코드가 실행되면 감염된 컴퓨터의 디렉토리 구성 정보, 시스템 정보, 프로세스 작업 정보 등을 수집하고 공격자의 명령제어(C2) 서버로 전송을 시도한다.
ESRC는 C2 서버로 수집된 정보가 전송될 때 사용되는 통신 매개변수 폼 데이터가 과거 김수키가 시도한 공격에서 등장했던 것과 동일한 패턴의 문자열이 사용됐다는 것도 확인했다.
관련기사
- 한수원·외교계 공격한 해커, 해외 기관도 노렸다2019.05.20
- 통일부 기자단 노린 해커, 이번엔 외교·안보 종사자 공격2019.05.20
- "1월초 통일부 기자단 공격한 해커그룹, 아직도 활동중"2019.05.20
- "백신 탐지 우회하는 PC 트로이목마, 악성메일로 확산 중"2019.05.20
김수키에 대해 ESRC는 "한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리 기반 공격에 총력을 기울이는 특징이 있다"고 설명했다.
ESRC는 국내 기관을 사칭하고, 축구 선수 리오넬 메시와 유사한 계정명이 발견됐다는 점에 착안, 해당 공격을 '오퍼레이션 페이크 스트라이커'로 명명했다.