"北 추정 해킹단체, 설 선물 위장 사이버 공격"
ESRC "금성121 소행…MS 엑셀 취약점 악용 시스템 파괴"
(서울=연합뉴스) 최현석 기자 = 설 연휴를 앞두고 북한 배후로 추정되는 해킹단체가 설 선물 내용으로 위장한 사이버 공격에 나서 주의가 요구된다.
23일 보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC) 블로그에 따르면 설 선물 내용으로 위장한 지능형 지속 위협(APT) 공격이 최근 발견됐다.
공격에 이용된 악성파일은 '홍삼6품단가'라는 파일명을 가진 xlsx 파일이다. 설 연휴를 노리고 사회공학적 기법을 결합한 스피어피싱(Spear Phishing) 공격에 활용됐을 것으로 추정된다.
이번 공격은 종전처럼 한글(HWP) 문서파일 대신 마이크로소프트(MS) 오피스 엑셀 문서파일의 취약점을 악용했다.
ESRC는 "기존 한글 문서의 취약점을 악용한 악성파일에서 발견된 특정 계정이 이번에도 동일하게 사용됐다"며 "추가로 생성되는 악성 EXE 파일 역시 이전 공격에 이용됐던 것과 마찬가지로 국내 보안프로그램 아이콘으로 위장한 점이 일치했다"고 설명했다.
ESRC는 이를 근거로 이번 APT 공격이 작년 8월께 발견된 'Operation Rocket Man' 공격을 수행한 동일 해킹그룹 '금성121'의 소행으로 확신했다.
금성121은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다. 2017년 또 다른 IP 주소를 거점으로 대북 관련 분야 관계자에게 HWP 취약점 공격을 수행한 것도 확인됐다.
ESRC는 분석 과정에서 컴퓨터를 망가뜨리는 와이퍼(wiper) 행위용 악성코드 다운로드가 추가로 확인됐다며 이번 APT 공격을 'Operation Holiday Wiper'로 명명했다고 설명했다.
ESRC는 유사한 APT 위협 사례가 이어질 것으로 보고, 모니터링을 강화하고 한국인터넷진흥원(KISA)과도 긴밀하게 협조하고 있다고 전했다.
문종현 ESRC 이사는 "올 초부터 특정 정부 지원을 받는 해킹그룹이 특정 사용자층이 현혹될 만한 키워드와 내용을 이용해 은밀한 APT 공격을 수행하고 있어 각별한 주의가 필요하다"며 "최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우 발신자 신뢰 여부를 세심히 살펴볼 필요가 있다"고 당부했다.
harrison@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스