'평양 과기대 총장' 사칭 악성문서 공격 발견

문서 열람 시 PC 정보 탈취…ESRC "MS 오피스 보안 업데이트 적용 시급"

컴퓨팅입력 :2021/11/11 13:40

국내 보안 기업 이스트시큐리티(대표 정상원)는 11일 평양 과학기술대학 총장을 사칭한 북한 연계 해킹 조직의 공격이 추가 발견됐다고 밝혔다.

이번 공격은 지난 8일 보고된 외교·안보·국방·통일 분야 전문가를 겨냥한 표적 공격과 같은 MS오피스 취약점이 동일하게 사용된 것으로 드러났다.

만약 공격 대상자가 MS오피스 최신 보안 업데이트를 설치하지 않은 상태에서 해당 DOCX 문서를 열어 보안 취약점이 작동되면 공격자가 지정한 추가 명령에 따라 악성 스크립트가 실행된다.

악성 문서파일 실행 화면(출처=이스트시큐리티)

악성 스크립트가 정상 작동되면 사용자 PC 정보가 탈취된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격을 분석한 결과 북한 정찰총국 연계 해킹 조직 소행으로 최종 분류했으며, ‘POSEIDON’ 계정명이 동일하게 사용된 것을 확인했다.

관련기사

배후로 지목된 북한 사이버 위협 조직이 맞춤형 표적 공격에 PDF, DOC 파일과 같은 문서 기반 보안 취약점을 적극 도입한다고도 덧붙였다.

ESRC 관계자는 “국내에서 최신 보안 취약점을 이용한 APT 공격이 지속적으로 포착되고 있어 사용중인 운영체제와 응용프로그램은 항상 최신 버전으로 유지하는 노력이 필요하다”며, “특히, 대북 분야 종사자들은 일상적으로 북한의 사이버 공격을 받을 수 있다는 경각심을 가져야 한다”고 주의를 당부했다.