> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“남북 화해 무드 이용하는 정부지원 해커 활동 ‘경고’”
이스트시큐리티 “‘남북이산가족찾기 전수조사’ 내용 사칭한 스피어피싱 유포”
     관련기사
  [주요 사이버 공격 그룹⑥] 악성코드만으로 공격자 특정 어려워
2018년 07월 04일 15:35:51 김선애 기자 iyamm@datanet.co.kr

이스트시큐리티(대표 정상원)는 정부지원 해커로 알려진 ‘금성121(Geumseong121)’ 그룹이 공식적인 ‘남북이산가족찾기 전수조사’ 내용으로 사칭한 해킹 이메일을 통해 APT 공격을 수행하고 있어 각별한 주의가 필요하다고 4일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)의 심기범 차장은 “이번 공격에 사용된 HWP 문서취약점은 기존 스타일에서 포스트스크립트(PostScript) 리버스 난독화 기법이 추가됐고, 문서 스트림에 암호화돼 숨겨진 최종 페이로드는 쉘코드 명령에 의해 작동 후 드롭박스 명령제어(C2)서버로 은밀하게 통신을 주고받는다”고 설명했다.

작전명 ‘미스터리 에그(Mystery Egg)’로 명명된 이번 APT 공격은 주로 한국의 대북 관련 단체가 표적이 된 것으로 알려졌고, 한국의 정부 기관을 사칭해 공식적인 업무협조처럼 위장한 특징이 있는 것으로 분석됐다.

기존처럼 실행파일(EXE)이나 문서파일(HWP) 등을 직접 보내는 대신, 웹 언어(HTML) 파일을 첨부해 마치 보안 이메일의 첨부파일처럼 조작한 새로운 공격 벡터를 활용하고 있다.

ESRC는 공격에 사용된 침해지표(IoC)에서 러시아 언어로 작성된 코드가 일부 확인됐고, 공격자는 의도적으로 러시아어 흔적을 남겨둔 것으로 보인다고 분석했다.

이는 거짓 플래그(False Flag) 기법을 활용해 APT 분석 연구원들이 위협 인텔리전스를 통해 공격 원점을 파악하는데 혼선을 주기 위한 목적의 고도화된 사이버 교란 전술을 펼치고 있는 것으로 볼 수 있다.

이번 공격자는 한글 표현이 포함된 그림 파일을 직접 제작해 사용한 정황이 포착됐는데, 보안 이메일의 영문 표기에서 오타가 일부 발견되기도 했다.

   
▲ 오타(적색 박스)가 포함된 그림 파일 화면

문종현 ESRC 이사는 “마치 정부기관에서 공식적인 업무협조 요청이나 문의 내용 이메일로 위장된 교묘한 표적공격이 지속적으로 발생하고 있으며, 4·27 남북정상회담과 6·12 북미정상회담 이후에도 이른바 정부지원을 받는 것으로 추정되는 해커의 사이버 첩보전은 계속 이어지고 있어 절대 안심할 수 있는 단계는 아니다”며 “이번 공격은 기존 스피어피싱처럼 문서파일을 직접적으로 첨부해 유포했던 수법과 달리, 보안이 적용된 파일처럼 위장한 HTML 파일을 사용하고 있는 것이 특징이다”고 강조했다.

이스트시큐리티는 ‘금성121’ 위협그룹의 대한 추적을 지속적으로 유지하고 있으며, 하반기 정식 출시 예정인 위협 인텔리전스 서비스 ‘쓰렛인사이드(Threat Inside)’ 를 통해 보다 체계적인 위협정보 분석 시스템을 마련할 계획이다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  남북이산가족찾기, 이스트시큐리티, APT, 정부 지원 해커
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr