통일부를 사칭해 피싱 공격을 시도한 ‘금성 121’이 일주일여 만에 또 다른 공격을 시도한 것으로 나타났다. 지속적으로 대북단체 관련자들을 노리고 있어 관계자들의 주의가 요구된다.
이스트시큐리티 시큐리티 대응센터(ESRC)는 29일 “지난 주말에 대북관련 단체 등에서 활동하는 주요 인사들에게 스피어 피싱(Spear Phishing) 공격이 포착됐다”며 “이번 공격은 자세한 설명이나 내용 없이 배포되었고, 수신자로 하여금 단순 호기심에 첨부파일을 열어보도록 유인한 형태를 띄고 있다”고 밝혔다.
최근 한국에서 발견되는 다수의 APT(지능형지속위협) 공격은 HWP 문서파일 취약점을 기반으로 하고 있으며, 이번에 발견된 사례 역시 동일하게 HWP 취약점이 악용된 것으로 나타났다.
ESRC는 “공격에 사용된 것이 제로데이 취약점(패치가 나오지 않은 취약점)은 아니며, 이미 보안패치가 완료된 것이다”며 “지속적으로 악용되고 있으므로, 이용자들은 반드시 최신 버전으로 문서 소프트웨어를 업데이트해, 유사한 위협에 노출되지 않도록 해야한다”고 각별한 주의를 요구했다.
또한, ESRC는 “악성코드를 분석한 결과, 금성121 위협조직이 배후에 있다는 단서들을 확보했다”며 “(금성121과) 동일한 TTPs(Tactics, Techniques, and Procedures) 기반의 공격을 그대로 재활용하고 있었다”고 말했다.
프로그램 데이터베이스(PDB) 경로와 악성코드와 통신하는 C2서버 주소로 사용된 도메인이 금성121 조직이 사용해왔던 것과 일치한다는 것이 ESRC의 설명이다.
기존 경로와 도메인들 등 각종 정보가 노출됐음에도 불구하고 해커들이 이를 변경하지 않는 것에 대해 문종현 ESRC 이사는 “북한 해커 입장에서 경로나 도메인이 노출이 되더라도 자신의 신분이 노출되는 것이 아니기 때문에 크게 신경을 쓰지 않는 것 같다”고 말했다.
한편, ‘금성 121’이 사용한 IP주소 중 일부가 평양시 류경동으로 확인된 바 있어 이 해커 조직은 북한의 지원을 받는 조직일 가능성이 높다.
이 조직은 지난 2014년 한국수력원자력 공격에 가담한 것으로 알려진 ‘김수키(Kimsuky)’와 직·간접적으로 활동 반경이 오버랩되어 두 그룹이 하나의 조직이거나 공격 미션과 대상이 동일한 것으로 의심되고 있다.