출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=112728&kind=#

대북 분야 종사자 대상 사이버 안보 위협 가중...분야별 전문가 사칭해 설문 등으로 접근
일반 문의로 의심 최소화 후 반응하면 공격...이메일 암호탈취 및 악성코드 삽입 워드 문서 전달

[보안뉴스 김영명 기자] 최근 외교·안보·국방 및 대북 분야에 종사하는 전문가들을 대상으로 자문요청이나 참고자료처럼 가장해 해킹을 시도하는 사이버 위협 활동이 꾸준히 포착되고 있는 것으로 파악됐다. 해당 피싱 공격은 보통 이메일로 접근하며, 정치·외교 전공 대학교수나 싱크탱크 연구원, 대북 분야 협회나 단체에 소속된 인물, 평화통일 유관 업무 공무원 등 다양한 분야별 전문가를 사칭해 접근하고 있는 것으로 드러났다.
 

▲특정 연구원 및 단체, 기관 등을 사칭해 해킹 공격을 수행하는 사례[자료=이스트시큐리티]

보안 전문기업 이스트시큐리티 대응센터(이하 ESRC)에 따르면, 이러한 공격은 마치 공신력 있는 기관 또는 단체에 소속된 관계자가 발송한 것처럼 조작한 이메일 문구로 해킹을 시도한다. 이번에 발견된 여러 피싱 사이트 화면들은 대체로 진짜와 비슷해 세심하게 관찰해야만 유사 위협을 예방하는데 조금이나마 도움이 될 수 있다.

공격자는 이메일의 첨부파일 다운로드 영역을 조작해 클릭 시 피싱 사이트로 연결되도록 만들고 ‘대용량 파일 다운로드’ 주소처럼 교묘하게 꾸민 피싱 사이트를 보여주는 것으로 분석됐다. 그 다음 보안상 본인인증 용도로 암호 입력이 필요하거나, 다운로드 기한이 있다는 식으로 현혹해 ‘다운로드’ 링크에 접근하도록 유인하는 것으로 밝혀졌다.

이용자가 만약 다운로드 주소를 클릭하면 가짜로 만들어진 로그인 창이 나타나 계정탈취 해킹을 시도하거나 또는 실제 악성코드가 삽입된 MS 워드 문서 파일 등이 받아지는 등 공격자 의도에 따라 달라지는 것으로 분석됐다.

이러한 위협 사례는 수년 전부터 연말까지 꾸준히 이어질 정도로 그 역사가 오래됐다. 마치 연막작전을 펼치듯 공격자가 국적과 신분을 숨긴 채 아웃소싱에 참여한다는 의미로 명명된 ‘스모크 스크린(Smoke Screen)’ 캠페인으로 불리고 있다.
 

▲사례비 파일로 위장된 악성 DOC 워드 문서가 실행된 화면[자료=이스트시큐리티]

이들은 해킹 기반 기밀정보, 비트코인 탈취와 함께 프로그램 개발 대행 등 다양한 사이버 외화벌이 활동을 수행했다. 이는 베일에 가려진 인물 정보를 추적해 그 뒤에 숨은 실체에 접근하고, 북한을 배후로 지목한 대표적 분석사례다. 이처럼 신원이 불확실한 가명의 개발자에게 프로그램 개발 의뢰를 진행하는 것은 잠재적 사이버 위협에 노출될 수 있다는 점을 지적하고 있다.

ESRC에 따르면, 특정 연구원의 질문지 답변에 따른 소정의 사례비 지급 명목으로 DOC 서식 파일을 보내 열람을 유도하는 형태의 공격이 진행 중이다. 발견된 악성 문서는 이달 15일까지 서식을 작성하도록 현혹했으며, 30만원의 사례비로 유인해 해킹을 시도했다.

처음 악성 DOC 문서 파일이 실행되면, ‘콘텐츠 불러오기 오류 발생’라는 가짜 오류 메시지를 보여주고, MS 오피스의 보안 설정으로 악성 매크로가 차단된 것을 우회하기 위해 ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 이 버튼을 누르면 악성 명령이 작동하기 때문에 절대로 이런 화면에 현혹돼 버튼을 누르지 않는 것이 중요하다.

이스트시큐리티 문종현 이사(ESRC 센터장)는 “북한 배후로 지목된 공격은 연말에도 계속 전개 중이며, 사이버 안보 위협 수위와 공세는 갈수록 거세지는 추세”라며 “특히, 최근 공격에는 한국의 특정 웹 서버들이 거점으로 악용되고 있으며, 국내 웹 게시판을 쓰는 공통점이 보여 신규 취약점 악용 여부 등 추가 조사를 진행 중”이라고 주의를 당부했다.
[김영명 기자(boan@boannews.com)]