크게 크게 작게 작게 메일
페이스북 트윗터
통일외교안보특보 발표 문서 사칭 스피어싱 공격…북 소행 추정
입력 : 2020-01-14 오전 10:19:23
[뉴스토마토 이지은 기자] 통일외교안보특보 세미나 발표 문서를 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견됐다. 북한 김수키(Kimsuky) 조직 소행으로 추정되고 있다. 스피어피싱은 해킹프로그램 등이 포함된 이메일을 공식 문서로 위장해 대상에 보내 공격하는 기법이다.
 
이스트시큐리티는 14일 통일외교안보특보 강연을 사칭한 스피어피싱 공격을 확인했다고 이같이 밝혔다. 
 
이번 공격에 사용된 악성 DOC 문서 파일은 지난 6일(현지 시간) 미 워싱턴DC 국익연구소의 '2020년 대북 전망 세미나 관련 질의응답 내용' 등을 담고 있다. 실제 이러한 세미나가 진행돼, 공격자가 해당 세미나 내용처럼 위장해 지능형지속위협(APT) 공격을 수행한 것으로 분석된다. 실제 발견된 악성 문서 파일명은 '문정인 대통령 통일외교안보특보 미국 국익센터 세미나.doc' 이다.
 
악성 문서파일 실행 시 보여지는 콘텐츠 사용 유도 화면. 자료/이스트시큐리티
 
만약 수신자가 세미나 발표 자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 한국의 특정 서버에서 추가 악성코드를 설치하고, 사용자 PC의 시스템 정보, 최근 실행 목록, 실행 프로그램 리스트 등 다양한 정보를 수집하는 동작을 수행하는 동시에 공격자의 추가 명령을 대기하는 이른바 좀비 PC가 된다. 좀비 PC 상태가 되면 공격자가 원격 제어 등을 통해 언제든 추가 악성 행위를 시도할 수 있어, 2차 피해로 이어질 가능성이 높다. 다만  스크립트 형식에 일부 알파벳 오타가 존재해 명령어가 제대로 수행되지 않는 경우도 존재한다.
 
문종현 이스트시큐리티 시큐리티대응센터 문종현 이사는 "이번 공격은 지난해 4월에 공개된 바 있는 한·미 겨냥 APT 캠페인 스모크 스크린의 사이버 위협 연장선의 일환"이라며 "특정 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 조직의 이전 공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 동일해, 해당 조직의 소행으로 추정된다"고 말했다.
 
이지은 기자 jieunee@etomato.com
 
이지은 기자
SNS 계정 : 메일 페이스북


- 경제전문 멀티미디어 뉴스통신 뉴스토마토

관련 기사