보안 기업 이스트시큐리티(대표 정상원)는 지난 22일 오전 국내 특정 인터넷 포럼 자료실을 통해 시력 보호 프로그램으로 위장한 악성 파일이 불특정 다수에게 유포됐다고 밝혔다.
해당 악성 파일이 포함된 게시물은 22일 오전 8시49분 경 등록됐다. 당일 기준 약 1천600여명이 게시물을 조회했다. 23일 오전 기준 게시물은 삭제된 상태다.
이스트시큐리티 시큐리티대응센터(ESRC)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고 설치, 삭제 과정에서 악성코드가 작동되도록 기능을 추가한 것으로 분석했다.
다만 해당 악성코드가 윈도 64비트 운영체제(OS) 기반으로 제작돼 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있다고 덧붙였다.
ESRC는 이번 악성 파일에 대해 특정 정부가 배후로 지목되는 해킹 그룹 ‘라자루스'의 소행으로 분석했다.
이들은 미국 재무부의 제재 대상이며, 미국에선 ‘히든 코브라’라는 이름으로도 통용된다. 최근까지 국내외에서 활발한 사이버 위협 활동을 펼치고 있는 것으로 추정되고 있다. 국내는 주로 비트코인 등 암호화폐 거래 관계자를 표적으로 삼고 있다. 해외는 항공, 군 관련 방위 산업체 분야를 주요 공격 대상으로 위협 활동을 펼친다.
특히 이번 악성 파일은 설치 과정 중 마치 임시 파일이 생성되는 것처럼 보이도록 만든 특징도 나타났다.
관련기사
- 북한 관련 사이트 첨부파일 열람 주의하세요2020.06.23
- 대북·외교 종사자 노리는 해커, 공격 수단 '다변화'2020.06.23
- '북한 코로나19 상황' 위장 악성 문서 주의보2020.06.23
- 중국발 사이버공격 급증…"韓 게임·언론사 저격"2020.06.23
문종현 ESRC 센터장 이사는 “라자루스 조직원들이 스피어 피싱 기반 지능형지속위협(APT) 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있어 커뮤니티 이용자의 각별한 주의가 요구된다”며 “이 악성 파일은 이스트시큐리티에서 올해 상반기 공개했던 라자루스 공격 관련 여러 악성 파일과 코드 유사성이 거의 일치한다”고 설명했다.
현재 이스트시큐리티는 자사 백신 프로그램 '알약'에 이번 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했다. 이와 동시에 피해 방지를 위해 관련 부처와 대응 공조 체제도 가동하고 있다.
