우리나라의 대북관련 활동 인사를 타깃으로 이력서 원본을 위장한 악성문서가 유포되는 정황이 포착됐다.
이스트시큐리티 시큐리티대응센터(ESRC)가 ‘오퍼레이션 골든 버드(Operation Golden Bird)’라고 명명한 이 공격은 북한 배후의 사이버 공격그룹으로 의심되는 ‘금성121’과 관련 있을 것으로 보인다. ESRC는 지난해부터 올해 초 까지 ‘로켓맨’ APT 캠페인의 일환으로 분석하고 있다.
공격은 이력서 원본을 보내는 것으로 위장하고 있으며, 암호화 압축파일을 이용해 이메일 보안 솔루션 우회를 시도했다. 압축파일에는 이력서 한글문서와 화면보호기로 위장한 ‘desktop.scr’ 파일이 들어있으며, 이력서에는 HWP 문서파일의 하이퍼링크 기능을 통해 외부 애플리케이션 문서 연결로 포함된 ‘desktop.scr’ 악성코드가 실행되도록 구현했다.
사용자가 HWP 문서의 하이퍼링크를 클릭하면 화면보호기 파일로 위장된 악성코드가 실행된다. 한국의 특정 웹사이트를 C&C 서버로 이용하고 있으며, 접속 경로를 보면 중국식 표현으로 의심될만한 정황이 있다. 그러나 ESRC는 의도된 거짓 교란 전술이라고 분석했다.
C&C 통신으로 추가 다운로드되는 실행파일은 아이클라우드 모듈로 위장하고 있으며, 윈도우가 재실행 될 때 까지 기다린다. 다음 단계에서 진행되는 추가 공격도 한국에서 운영되는 기업의 서버를 이용한다.
ESRC 관계자는 “이번 공격은 국가 차원의 사이버 작전으로 판단하고 있으며, 한국인터넷진흥원과 긴밀하게 공조하면서 위협 인텔리전스를 강화할 예정”이라며 “이스트시큐리티 ‘쓰렛 인사이드’ 서비스를 통해 국지적으로 발생하는 다야한 위협 정보와 침해지표를 전문화된 인텔리전스 리포트로 제공한다”고 말했다.
