국방·안보분야 전문가에 수상한 메일, 北 연계조직 추정

머니투데이 황국상 기자 2022.08.05 10:26
글자크기
[그림 1] 공격에 사용된 피싱 메일 / 사진=이스트시큐리티 홈페이지 캡쳐[그림 1] 공격에 사용된 피싱 메일 / 사진=이스트시큐리티 홈페이지 캡쳐


외교·국방·안보 분야 전문가들의 정보를 빼내기 위한 피싱메일이 기승을 부리고 있는 것으로 조사됐다. 북한 정찰총국 연계 해킹조직의 소행이라는 분석도 나왔다.



5일 이스트시큐리티 보안공지에 따르면 지난 1일 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사한 해킹 시도가 있었던 것으로 확인됐다. 스피어피싱이란 특정 개인이나 단체를 겨냥한 사이버공격 형태를 일컫는 용어다.

이번에 확인된 메일에는 마치 다가오는 행사의 세부 계획 초안이나 논문심사와 관련한 워드(doc) 문서파일인 것처럼 수신자를 현혹시키는 내용이 담겨 있었다. 실제 이메일에 첨부된 파일이 아니라 특정 웹사이트(files.cllouds.great-site[.]net)에 접속해 악성 워드파일을 내려받도록 유도하는 식이었다.



이같은 이메일로 다운로드되는 파일의 이름은 '논문(국방대 65-2-12).doc', 'KIMS-CNA Webinar 세부계획 초안.doc' 등이었다. 보안제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상 파일을 선택적으로 배포하는 수법을 쓴 것으로 파악됐다.

ESRC(이스트시큐리티 시큐리티대응센터)는 "이번 공격은 국방·안보 분야의 전·현직 고위관계자를 타깃으로 수행됐다"며 "만약 워드 파일에 포함된 악성 매크로를 허용할 경우 freunkown1.sportsontheweb[.]net' 명령 제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취를 시도한다"고 설명했다.
[그림 2] 정상 문서를 위장한 악성 파일 / 사진=이스트시큐리티 홈페이지 캡쳐[그림 2] 정상 문서를 위장한 악성 파일 / 사진=이스트시큐리티 홈페이지 캡쳐
또 "이번 공격에 발견된 문서는 공통적으로 'kisa' 이름의 작성자 계정이 존재하는데 이는 최근 유사 위협 사례에서 지속 발견되고 있는 점"이라며 "이번 공격은 국방·안보 분야 전문가를 집중 겨냥한 이른바 페이크 스트라이커(Fake Striker) APT 캠페인의 연장선으로, 위협 벡터와 공격 도구 등을 종합 분석한 결과 북한 정찰총국 연계 해킹 조직 소행으로 판단된다"고 했다.

아울러 ESRC는 "이번 공격 배후로 지목된 사이버 안보 위협 조직은 DOC 악성 문서뿐만 아니라, OLE를 삽입한 HWP 문서 공격도 사용했다"며 "지난달 20일 마치 북한 종교 아카데미 강의 요청 안내문처럼 위장해 악성 HWP 파일을 북한인권 분야의 종교 지도자나 대북 분야 종사자에게 전달했는데 이때도 'files.cllouds.great-site[.]net' 주소와 'sooyeon55.atwebpages[.]com' 도메인이 활용됐다"고 분석했다.


이어 "북한 정권 차원에서 조직적으로 전개중인 사이버 안보 위협 수위와 공세가 갈수록 거세지고 있으며, 특히, 외교·안보·국방·통일 분야 전문가들은 쉽게 공격의 표적이 되고 있어 정보보안에 만전을 기해야 한다"며 "이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유하여 위협이 확산되지 않도록 협력을 유지 중"이라고 했다.
TOP