[그림 1] 공격에 사용된 피싱 메일 / 사진=이스트시큐리티 홈페이지 캡쳐
이번에 확인된 메일에는 마치 다가오는 행사의 세부 계획 초안이나 논문심사와 관련한 워드(doc) 문서파일인 것처럼 수신자를 현혹시키는 내용이 담겨 있었다. 실제 이메일에 첨부된 파일이 아니라 특정 웹사이트(files.cllouds.great-site[.]net)에 접속해 악성 워드파일을 내려받도록 유도하는 식이었다.
ESRC(이스트시큐리티 시큐리티대응센터)는 "이번 공격은 국방·안보 분야의 전·현직 고위관계자를 타깃으로 수행됐다"며 "만약 워드 파일에 포함된 악성 매크로를 허용할 경우 freunkown1.sportsontheweb[.]net' 명령 제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취를 시도한다"고 설명했다.
[그림 2] 정상 문서를 위장한 악성 파일 / 사진=이스트시큐리티 홈페이지 캡쳐
아울러 ESRC는 "이번 공격 배후로 지목된 사이버 안보 위협 조직은 DOC 악성 문서뿐만 아니라, OLE를 삽입한 HWP 문서 공격도 사용했다"며 "지난달 20일 마치 북한 종교 아카데미 강의 요청 안내문처럼 위장해 악성 HWP 파일을 북한인권 분야의 종교 지도자나 대북 분야 종사자에게 전달했는데 이때도 'files.cllouds.great-site[.]net' 주소와 'sooyeon55.atwebpages[.]com' 도메인이 활용됐다"고 분석했다.
이어 "북한 정권 차원에서 조직적으로 전개중인 사이버 안보 위협 수위와 공세가 갈수록 거세지고 있으며, 특히, 외교·안보·국방·통일 분야 전문가들은 쉽게 공격의 표적이 되고 있어 정보보안에 만전을 기해야 한다"며 "이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유하여 위협이 확산되지 않도록 협력을 유지 중"이라고 했다.