> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“외교 문서 위장 스피어피싱, 외교 전문가 대상으로 유포”
이스트시큐리티, 외교·안보·통일 관련 전문가 대상으로 외교 관련 문서 위장 메일 발송돼
2019년 04월 03일 12:46:43 김선애 기자 iyamm@datanet.co.kr

최근 우리나라를 둘러싼 복잡한 외교 문제를 분석한 내용으로 위장한 스피어피싱 메일이 외교, 안보, 통일 분야 및 대북, 탈북 단체 종사자를 대상으로 유포되고 있다.

이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)에 따르면 ‘오퍼레이션 스텔스 파워(Operation Stealth Power)’라고 명명한 스피어피싱 공격이 ‘최근 한반도 관련 주요국 동향.hwp’, ‘3.17 미국의 펜타곤 비밀 국가안보회의.hwp’ 등 외교, 안보 분야 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자만을 표적화해 발송되고 있다.

   

▲공격에 사용된 스피어 피싱 이메일 화면

수신자가 공격에 사용된 첨부 파일을 열람하면 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버에 올려진 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행하며, 이를 통해 각종 정보를 탈취하게 된다.

유창한 한국어로 작성된 이메일 본문은 물론, 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울인 것처럼 위장해 이메일 수신자가 정상적인 자료 파일로 착각하게 유도하는 고도화된 수법을 사용하고 있다.

특히 hwp 문서 작성 프로그램에서 제공하는 파일 암호 설정 기능을 적용한 것은 이메일 수신자의 신뢰를 얻는 목적 외에도, 암호를 알기 전 소스 코드 분석이 불가능한 점을 악용해 보안 프로그램의 파일 악성 여부 판단을 방해하는 목적도 있는 것으로 보인다.

이 밖에도 파일 내부의 일부 데이터가 일요일인 2019년 3월 31일에 생성된 것으로 나타나, 공격 조직이 주말에도 활발하게 공격을 위한 작업을 수행하고 있는 것으로 추정된다.

ESRC센터장인 문종현 이사는 “특정 기관, 단체, 기업 종사자만을 표적해 악성 이메일을 발송하는 스피어 피싱 공격은 향후에도 지속적으로 이어질 것으로 판단된다”며 “출처를 알 수 없는 URL, 이메일 첨부파일 등을 열어보지 않는 등 가장 기본적이지만 놓치기 쉬운 보안 수칙 준수를 습관화하는 자세가 반드시 필요하다”라고 당부했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 외교, 스피어피싱, APT
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr