[그림 1] 공격에 사용된 피싱 메일 / 사진=이스트시큐리티 홈페이지 캡쳐
5일 이스트시큐리티 보안공지에 따르면 지난 1일 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사한 해킹 시도가 있었던 것으로 확인됐다. 스피어피싱이란 특정 개인이나 단체를 겨냥한 사이버공격 형태를 일컫는 용어다.
이같은 이메일로 다운로드되는 파일의 이름은 '논문(국방대 65-2-12).doc', 'KIMS-CNA Webinar 세부계획 초안.doc' 등이었다. 보안제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상 파일을 선택적으로 배포하는 수법을 쓴 것으로 파악됐다.
[그림 2] 정상 문서를 위장한 악성 파일 / 사진=이스트시큐리티 홈페이지 캡쳐
아울러 ESRC는 "이번 공격 배후로 지목된 사이버 안보 위협 조직은 DOC 악성 문서뿐만 아니라, OLE를 삽입한 HWP 문서 공격도 사용했다"며 "지난달 20일 마치 북한 종교 아카데미 강의 요청 안내문처럼 위장해 악성 HWP 파일을 북한인권 분야의 종교 지도자나 대북 분야 종사자에게 전달했는데 이때도 'files.cllouds.great-site[.]net' 주소와 'sooyeon55.atwebpages[.]com' 도메인이 활용됐다"고 분석했다.
이어 "북한 정권 차원에서 조직적으로 전개중인 사이버 안보 위협 수위와 공세가 갈수록 거세지고 있으며, 특히, 외교·안보·국방·통일 분야 전문가들은 쉽게 공격의 표적이 되고 있어 정보보안에 만전을 기해야 한다"며 "이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유하여 위협이 확산되지 않도록 협력을 유지 중"이라고 했다.