사이버보안 전문 업체 이스트시큐리티(대표 정진일)는 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구된다고 23일 밝혔다.
이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것이다.
악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 24일 '윤석열 정부 남북정책 북한 코로나 지원, 남북대화 방향은?'이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있다.
공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해, 문서가 실행될 때 평소 많이 봤던 것과 비슷한 가짜 메시지 창 '상위 버전에서 작성한 문서입니다.' 화면을 보여줘 별다른 의심 없이 실행하도록 유도하는 공격전략을 구사했다.
이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, 해당 HWP 내부에는 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 ‘work3.b4a[.]app’로 통신을 시도하는 것을 확인했다. 이 C2 서버 주소는 북한 연계 해킹 사건에서 연이어 발견되고 있어 신속한 차단이 필요한 곳이다.
ESRC는 이번 공격 조직이 사용했던 위협 데이터를 종합 분석한 결과 과거 '금성121' 배후가 사용한 공통점이 여럿 목격되는 것을 확인했다. 주로 러시아 Yandex 이메일을 사용하고. 더불어 해킹해 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용하는 공통점이 발견된다는 설명이다.
HWP 기반 OLE 방식의 공격이 연이어 발견되고 있는 만큼, 한컴오피스 이용자는 별도의 메시지 창 클릭 안내 화면을 보게 될 경우 이전보다 더 세심한 주의와 함께 문서보안 수준 설정을 '높음' 상태로만 유지하는 것이 필요하다.
관련기사
- 이스트시큐리티, 150억원 투자 유치...메타버스 보안 사업확장2022.05.11
- 이스트시큐리티, IPO 주관사로 KB증권 선정2022.05.02
- 카톡 계정정보 노린 '코인 거래소 사칭' 피싱메일 발견2022.04.16
- 알약, 1분기 랜섬웨어 공격 약 18만 건 차단2022.04.13
이는 최근 윤석열 대통령과 미국 조 바이든 대통령이 한미정상회담 공동선언문을 통해 사이버 적대세력 억지와 핵심기반시설 사이버보안 등을 주요 의제로 포함하고, 북한의 사이버 위협 대응 협력을 대폭 확대하기로 발표하는 등 사이버 안보가 핵심 의제 중 하나로 급부상한 가운데 행해졌다는 점에 주목할 필요가 있다.
ESRC 센터장 문종현 이사는 "새 정부출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않으며, 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다"며 "특히, 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다"고 당부했다.