기업 실무자와 수차례 메일 주고받으며 공격 시도
압축파일·LNK 악용해 정보 탈취 및 추가 악성행위 수행
(서울=연합뉴스) 오지은 기자 = 보안 전문기업 이스트시큐리티는 개인정보 유출 문의 고객으로 위장해 기업 담당자를 공격하는 사례가 포착됐다며 기업들의 주의를 당부했다.
특히 이번 공격은 기업 담당자와 메일을 주고받는 기법이 활용됐는데 이는 북한 연계 해킹 조직 김수키의 전형적인 공격 패턴과 유사했다.
15일 이스트시큐리티는 대응센터에서 운영 중인 APT(지능형 지속 공격) 탐지 시스템으로 '개인정보 유출 의심 확인 요청' 소재를 악용한 표적형 악성 메일 공격을 잇달아 포착했다.
이번 공격은 불특정 다수에게 악성코드를 무작위로 살포하던 과거 방식과 달리 특정 기업의 실무 담당자와 여러 차례 정상적인 메일을 주고받으며 신뢰를 쌓은 뒤 악성 파일을 실행하도록 유도하는 전형적인 사회공학적 기법을 활용했다.
특히 공격자는 첫 번째 시도에서 메일 내 악성 링크가 기업의 보안 설루션에 의해 차단되자 담당자에게 "자체 보안팀 검사 결과 이상이 없으며 오탐지로 보인다"고 안심시킨 뒤 백신 감시를 우회하기 위해 암호가 설정된 압축 파일 형태로 악성코드를 재전송하는 치밀함을 보였다.
만약 사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면 백그라운드에서 32비트 파워셸(PowerShell)이 강제 호출되면서 일부 보안 기능의 탐지를 우회한다.
사용자 눈에는 정상적인 엑셀이나 PDF 문서가 출력되지만 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다.
공격자는 탐지를 피하기 위해 두 가지 형태의 프레임워크를 사용했다.
첫 번째는 정상 클라우드 서비스인 드롭박스 응용 프로그램 인터페이스(API)를 명령제어 서버로 악용해 PC 내 정보를 탈취하고 가상환경 분석을 탐지하는 기능을 포함했다.
두 번째는 공격자의 자체 서버와 직접 통신하는 형태로, 국내 유명 보안 소프트웨어의 자동 업데이트로 위장한 파일을 시작 프로그램에 등록해 지속성을 확보하고 명령어를 은닉했다.
센터는 수집한 악성 샘플 3종을 정밀 분석한 결과 모두 동일한 내부 구조와 미끼 문서(고객현황 위장)를 공유한다고 확인했다.
동일한 공격 그룹이 하나의 캠페인 안에서 상황에 따라 도구를 바꿔 가며 운용하는 방식으로 북한 연계 해킹 조직인 김수키의 전형적인 공격 패턴과 매우 높은 유사성을 나타냈다.
이스트시큐리티 관계자는 "이번 공격은 보안 담당자의 가장 큰 관심사이자 취약점인 개인정보 유출을 명분으로 삼아 의심을 피했다"며 "발신자가 외부인일 경우 대화가 자연스럽게 이어지더라도 첨부파일이나 링크를 실행할 때 각별히 주의해야 한다"고 강조했다.
built@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>