해킹 시도 때 보여지는 현직 경찰 신분증 화면. /사진=이스트시큐리티 제공
해커는 실제 한 경찰청에서 근무하는 첨단안보수사계 수사관인 것처럼 사칭했다. 얼굴과 실명 등이 담긴 공무원증 PDF 문서로 위장해 해킹을 시도한 것으로 드러났다고 이스트시큐리티는 설명했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 사례를 분석한 결과 해킹 공격 거점에 국내 서버가 악용된 사실을 밝혀냈다. ESRC는 관계 당국과 긴밀히 공조해 침해 사고 서버를 신속히 조치, 추가 피해 발생을 차단했다. 동시에 공격 명령 과정에 사용된 여러 기록을 확보해 분석 중이다.
비트코인 거래소 대상 경찰 사칭 공격은 정상 신분증 문서를 이메일에 악성 문서와 별도 첨부해 보낸 수법을 사용했다. 그러나 이번 공격은 악성 실행파일(EXE) 내부에 정상 신분증 PDF 문서를 교묘히 은닉 후 악성 코드 작동 시점에 정상 파일로 교체했다.
유엔인권사무소 사칭(좌)·통일부 사칭(우) 악성파일 매크로 유도 비교 화면. /사진=이스트시큐리티 제공
또 '유엔인권사무소'를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 '통일부 정착 지원과' 사칭 공격 당시 화면이 서로 동일한 것으로 조사됐다.
과거 비슷한 공격에서 포착된 악성 워드 파일 공격의 경우, 문서 첫 실행 시 '문서가 보호되었습니다'라는 가짜 마이크로소프트 타이틀을 보여준다. 세부 설명에는 '콘텐츠 사용' 버튼 클릭 유도용 디자인이 동일한 이미지로 재활용된다. 다만, 간혹 영문 표기나 일부 단어가 변경된 경우도 발견되고 있다.
이 시각 인기 뉴스
ESRC는 이번 공격에 사용된 명령제어(C2) 인프라 및 파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC) 등을 면밀히 비교했다. 그 결과 이른바 '스모크 스크린' 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 분류했다고 설명했다.
ESRC 관계자는 "북한의 사이버 안보 위협은 대한민국 현직 경찰관의 신분을 도용해 해킹 대상자를 물색하고 과감하게 접근하는 시도까지 할 정도로 위험 수위가 높다"며 "무엇도 신뢰하지 않는다는 전제의 제로트러스트 사이버 보안 모델 개념처럼 항상 의심하고 경각심과 긴장을 높여야 할 때"라고 주의를 당부했다.