이스트시큐리티, 北 연계 APT 조직 공격 주의 당부
이스트시큐리티, 北 연계 APT 조직 공격 주의 당부
  • 김문구 기자
  • 승인 2020.12.09 15:13
  • 댓글 0
이 기사를 공유합니다

북한 동향정보, 통일 이야기 공모전 문서 사칭
통일부 자료 사칭 이메일(왼쪽)과 통일 관련 공모전 신청서 사칭 HWP 파일
통일부 자료 사칭 이메일(왼쪽)과 통일 관련 공모전 신청서 사칭 HWP 파일

[아이티비즈 김문구 기자] 이스트시큐리티(대표 정상원)는 최근 ‘탈륨’과 ‘금성121'등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있다며 9일 주의를 당부했다.

이스트시큐리티 시큐리티대응센터(ESRC)가 새롭게 발견한 APT 공격은 ▲통일부 사칭 악성 이메일 공격과 ▲평화 통일 관련 이야기 공모전 신청서를 사칭한 악성 HWP 문서 공격이다.

먼저 통일부 사칭 공격은 악성 문서 파일을 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만, 실제로는 첨부 파일이 아닌 악성 링크를 활용한 공격이다.

공격자가 발송한 이메일 본문에는 통일부에서 정식 발행한 것처럼 정교하게 조작된 문서 첫 장의 이미지가 삽입되어 있고, 이미지 하단에 PDF 문서가 첨부되어 있는 것처럼 링크가 삽입돼 클릭을 유도한다.

이 첨부파일 링크를 클릭하면 문서가 보이는 대신 메일 수신자의 이메일 계정 암호 입력을 요구하는 화면이 나타난다. 이때 계정 암호를 입력하게 되면 정보가 공격자에게 탈취돼 이메일을 통해 주고받은 개인 정보가 유출되는 것은 물론, 계정을 도용해 주변인에게 피싱 메일까지 발송되는 등 2차 피해로 이어질 가능성이 크다.  

새롭게 발견된 또 다른 공격은 춘천시 주관으로 실제 개최하는 ‘평화∙통일 이야기 공모전’ 참가 신청서를 사칭한 악성 HWP 문서를 활용하고 있다. 

다만 실제 올해 개최되는 공모전의 정식 명칭은 ‘2020 평화∙통일 이야기 공모전’이지만, 발견된 악성 문서에는 ‘2021 평화∙통일 이야기 공모전’ 참가 신청서로 기재되어 있어 공격자가 개최 연도만 교묘히 조작한 것으로 확인되었다.

공격자는 이번 공격에서 한컴오피스 한글 프로그램의 ‘객체 연결 삽입(OLE)’ 기능을 악용했다. 참가 신청서 문서에는 내용 전체를 덮는 크기의 투명 OLE 객체가 삽입되어 있으며, 사용자가 문서 편집을 위해 클릭하면 공격자가 OLE 객체에 미리 심어둔 악성코드가 실행되는 방식이다.

이러한 공격 방식은 포스트스크립트(PostScript) 방식과 동일하게 문서 파일 자체 취약점을 악용하지 않기 때문에, 최신 버전의 프로그램을 사용하거나 보안 업데이트를 모두 적용한 경우에도 악성코드가 실행될 가능성이 크다.

ESRC는 새롭게 발견된 이메일 피싱 공격과 HWP 악성 문서 공격의 배후로, 북한 정부가 공식적으로 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’과 ‘금성121(Geumseong121)’을 각각 지목했다.

이스트시큐리티 ESRC센터장 문종현 이사는 “탈륨 등 북한 연계 APT 공격 조직의 대남 사이버 공격이 전방위적으로 활발하게 진행되고 있어, 민관의 각별한 주의와 대비가 필요하다”며, “코로나19 재확산에 따라 사회적 거리두기가2.5단계로 상향되며, 기업과 기관의 재택근무 실시가 증가하는 추세와 맞물려 사이버 위협 수위도 높아졌기 때문에, 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때다”고 당부했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.