문정인 대통령특보 발표문 위장한 해킹 공격…北 김수키 소행

문정인 해킹
문정인 통일외교안보특보 발표자료를 이용한 악성 문서 파일. / 사진=이스트시큐리티 제공

문정인 대통령외교안보특보의 발표문을 위장한 문서를 악용한 스피어 피싱(Spear Phishing)이 포착됐다. 이번 공격은 북한 해킹조직으로 알려진 김수키(Kimsuky)의 소행으로 전해졌다.

국내 보안업체 이스트시큐리티(ESRC)는 14일 “‘통일외교안보특보 세미나 발표 문서’를 이용해 특정 관계자 정보를 노린 스피어 피싱 공격이 발견됐다”며 “관련 업계 종사자의 각별한 주의가 필요하다”고 밝혔다.

문정인 대통령외교안보 특보는 지난 6일(현지시간) 미국 국익연구소에서 진행한 ‘2020년 대북 전망 세미나’에 참석해 강연과 문답, 특파원 간담회를 진행한 바 있다.

ESRC는 해커가 해당 세미나 내용처럼 위장해 APT(지능형지속위협) 공격을 수행한 것으로 판단된다고 설명했다.

스피어피싱, APT 공격 모두 특정인을 대상으로 하는 맞춤형 사이버 공격인 만큼 이번 공격은 통일·외교 안보 전문가, 정치인 등이 목표인 것으로 보인다.

이번 공격은 지난 2014년 한국수력원자력(한수원)을 공격한 북한 해킹조직 김수키의 소행인 것으로 알려졌다.

문종현 ESRC 이사는 “이번 공격은 지난해 4월 한미를 겨냥한 APT 캠페인의 연장선이다”면서 “특정 정부의 지원을 받는 것으로 알려진 김수키의 소행으로 추정된다”라고 말했다.

지난해 4월 ‘한미정상회담 관련 정부 관계자 발언’이라는 문서를 이용해 한국과 미국 전문가를 동시에 노린 김수키의 APT 공격과 동일 선상에 있다는 이야기이다.

문 이사는 “이번 공격은 김수키가 과거 행했던 해킹공격과 악성코드 제작 기법, 공격 스타일 등이 대부분 일치한다”면서 “이들은 지난해 10월에도 북한 난민 구출요청처럼 위장해 스피어 피싱 공격을 수행한 바 있다”고 설명했다.

정부 지원을 받는 해킹조직은 통상적으로 북한, 러시아, 중국 등으로 일컬어지고 있으며 김수키는 북한 해킹 조직으로 알려졌다.

실제, 최근 마이크로소프트가 자신들의 인터넷 계정을 도용한 혐의로 미연방법원에 고소한 북한 해킹조직 탈륨(Thallium)도 김수키와 동일 조직인 것으로 전해지고 있다.(▶관련기사 : MS가 고소한 北 해킹 조직 ‘탈륨’…국내 탈북민 공격한 ‘김수키’)

악성 문서파일 실행 시 보여지는 콘텐츠 사용 유도 화면. 콘텐츠 사용버튼을 누루면 악성코드에 감염된다. / 사진=이스트시큐리티 제공

한편, ESRC는 이번 공격으로 인해 PC에 악성코드가 설치되면 컴퓨터 내부 정보가 탈취되고 좀비 PC가 될 수 있다며 주의를 당부했다.

ESRC는 “악성 DOC 문서 파일을 열면 MS워드 프로그램 상단에 보안 경고창이 나타나고 동시에 문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 표시된다”며 “수신자가 세미나 발표 자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 한국의 특정 서버에서 추가 악성코드가 설치된다”고 설명했다.

업체는 “악성코드에 감염되면 사용자 PC의 ▲시스템 정보 ▲최근 실행 목록 ▲실행 프로그램 리스트 등 다양한 정보가 해커에게 전송된다”며 “감염된 PC는 정보 수집과 함께 공격자의 추가 명령을 대기하는 이른바 좀비 PC가 된다”고 경고했다.

좀비 PC 상태가 되면 공격자가 원격 제어 등을 통해 언제든 추가 악성 행위를 시도할 수 있어, 2차 피해로 이어질 가능성이 높다.

다만, 업체는 스크립트 형식에 일부 알파벳 오타가 존재해 명령어가 제대로 수행되지 않는 경우도 있다고 전했다.

소셜공유