北 칼럼으로 위장한 악성문서 유포 '주의'

인권단체 대표 타깃 APT 공격..이스트시큐리티

[아이뉴스24 최은정 기자] 해커가 북한 관련 칼럼으로 위장한 악성 메일로 국내 인권단체 대표를 공격한 정황이 포착됐다.

북한 정세와 안보 칼럼으로 위장한 악성 문서 화면 [사진=이스트시큐리티]

이스트시큐리티(대표 정상원)는 북한 연계 해킹조직으로 알려진 '금성121'의 이같은 신규 지능형지속위협(APT) 공격이 발견됐다며 7일 주의를 당부했다.

이번 공격에는 메일에 악성 파일을 첨부해 보내는 전형적인 스피어 피싱 공격 기법이 악용됐다. 첨부된 악성 파일은 북한의 최근 정세와 안보 관련 주제 칼럼으로 위장한 문서였다.

회사 측은 "이번 공격은 단순히 메일을 발송하는 것이 아니라 사전에 공격 대상과 사회관계망서비스(SNS)를 통해 친분을 만든 뒤 악성 파일을 전달하는 치밀한 수법이 사용된 점에서 주목할 만 하다"고 강조했다.

먼저 공격자는 특정 인물의 SNS 계정을 해킹하고 친구 관계로 연결된 또 다른 사람을 물색해 추가 공격 대상을 선정했다. 이후 SNS 메신저를 활용해 안부 인사와 관심사 등으로 대화해 경계심을 낮췄다는 설명이다.

이어 자신이 작성한 북한 정세 관련 칼럼에 대해 조언을 구하면서 타깃에게 악성 문서 파일을 이메일로 전달했다. 첨부된 문서에는 악성 매크로 명령이 삽입돼 있어 메일 수신자가 '콘텐츠 사용'을 허용할 경우 해킹 위협에 노출된다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과, 이번 공격에 쓰인 악성 파일은 지난해 3월 위장 탈북 증거를 사칭한 '스파이 클라우드' APT 공격과 유사했다. 현재 백신 프로그램 알약에서 이번 파일을 탐지 중이다.

ESRC가 이번 사건의 배후로 지목한 금성121 조직은 최근 대북 분야 언론매체를 겨냥한 워터링 홀 공격과 함께 안드로이드 기반 스마트폰 이용자를 노린 스미싱 공격까지 수행하고 있다.

문종현 이스트시큐리티 ESRC센터장(이사)은 "금성121 조직은 특정 국회의원을 포함한 유명인사의 휴대폰을 해킹해 개인정보를 탈취한 바 있고, 대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 노친다"면서 "모바일이나 이메일로 문서를 받는 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다"고 말했다.

/최은정 기자(ejc@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기