유튜브 채널 출연 요청 문서로 위장한 악성코드 주의보

송종호 입력 2022. 5. 23. 16:07
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

이스트시큐리티는 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외 요청 문건으로 위장한 HWP 악성 문서가 전파되고 있다고 23일 밝혔다.

이번 공격은 KTV 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장돼 이뤄졌다.

해커 조직은 악성 문서 내부에 악성 개체 연결 삽입(OLE) 명령을 추가했다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

기사내용 요약
이스트시큐리티, 유튜브 방송 출연 섭외로 위장해 악성 문서 공격 징후 포착
과거 금성121 수법과 유사…“신속한 차단 필요”
해킹한 개인 정보 해외 클라우드 서비스에 저장

[사진=이글루시큐리티] *재판매 및 DB 금지

【서울=뉴시스】송종호 기자 = 이스트시큐리티는 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외 요청 문건으로 위장한 HWP 악성 문서가 전파되고 있다고 23일 밝혔다.

이번 공격은 KTV 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장돼 이뤄졌다. 악성 문서파일은 ‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은?‘이라는 주제로 방송 출연을 문의하는 내용이었다. 실제로 운영되는 유튜브 방송을 사칭해 대북 분야 전문가를 겨냥한 것으로 보인다.

해커 조직은 악성 문서 내부에 악성 개체 연결 삽입(OLE) 명령을 추가했다. 연결 개체 삽입은 컴퓨터 운영체제에서 파일들을 서로 묶어서 사용하는 것을 말한다.

이때 메일 수신자가 문서를 눌러 실행하면 ‘상위 버전에서 작성한 문서입니다’라는 메시지 창이 보이도록 했다. 이를 다시 클릭하면 OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 ‘work3.b4a[.]app’로 통신을 시도한다. 배치와 파워셸은 운영체제에서 사용하는 명령어의 일종이지만 해커 조직이 악성코드 유포에 악용하기도 한다. 해커 조직이 통신을 시도한 서버 주소는 북한 연계 해킹 사건에서 연이어 발견되고 있어 신속한 차단이 필요하다고 이스트시큐리티는 전했다.

이번 공격 방식은 과거 북한 연계 해커조직인 '금성121' 배후가 사용한 것과 유사점이 여럿 발견됐다. 이스트시큐리티는 “러시아 정보기술(IT) 기업 얀덱스 이메일을 사용하거나 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용하는 공통점이 발견됐다”고 설명했다.

문종현 이스트시큐리티 이사는 “새 정부출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않는다. 해킹 대상자를 현혹하기 위한 접근 수법도 진화를 거듭하고 있다”라며 “특히 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관 공조 강화가 무엇보다 중요하다”라고 말했다.

☞공감언론 뉴시스 song@newsis.com

ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지

이 기사에 대해 어떻게 생각하시나요?