SNS 친구가 보낸 문서 봤더니 악성코드 감염

이스트시큐리티, 유포 사례 발견.."인권 단체 노려"

(지디넷코리아=김윤희 기자)국내 보안 기업 이스트시큐리티(대표 정상원)는 7일 북한의 최근 정세와 안보 관련 주제의 문서를 가장한 악성 메일 공격을 발견했다고 밝혔다. 이번 공격은 국내 특정 인권단체의 대표를 표적으로 삼았다.

특히 이번 공격은 단순히 메일을 발송하는 것이 아니라, 사전에 SNS를 통해 공격 대상과 친분을 만든 뒤 악성 파일을 전달하는 전략을 취했다. 

공격자는 특정 인물의 SNS 계정을 해킹한 후, 친구 관계로 연결된 또 다른 사람을 물색해 추가 공격 대상을 선정했다. 

이후 공격 대상에게 SNS 메신저를 사용해 가벼운 안부 인사와 함께 평소 비슷한 관심사나 가십거리로 대화하며, 경계심을 낮추고 친분을 확보했다. 

그런 다음 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로, 악성 문서 파일을 공격 대상에게 이메일로 전달했다.

최근 북한 정세와 안보 칼럼으로 위장한 악성 DOC 문서 화면(출처=이스트시큐리티)

첨부된 문서 파일에는 악성 매크로 명령이 삽입돼 있어, 메일 수신자가 '콘텐츠 사용'을 허용할 경우 해킹 위협에 노출된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 사건의 배후로 북한 연계 해킹 그룹 ‘금성121'을 지목했다. 이 조직은 최근 대북 분야 언론 매체를 해킹하려 하는 등 공격 수위를 높여가고 있다.

특히 이 조직이 최근 수행한 안드로이드 기반 스마트폰 스미싱 공격에 사용된 악성 앱은 설치된 기기에서 저장된 주소록, 문자 메시지, 통화 내역, 위치 정보, 녹음, 사진 파일 등 개인정보를 대거 유출하는 기능이 발견됐다.

북한 관련 이미지도구로 위장한 악성앱 유포 화면(출처=이스트시큐리티)

문종현 이스트시큐리티 ESRC센터장 이사는 “금성121 조직은 특정 국회의원을 포함해 유명 인사의 휴대폰을 해킹해 개인 정보를 탈취한 바 있고, 대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속적으로 노리고 있다”며 “특히 모바일이나 이메일로 마치 지인이나 업계 전문가인척 연락하는 경우가 많아, 앱이나 문서 파일 등을 보내올 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 당부했다.

김윤희 기자(kyh@zdnet.co.kr)