2014년 한국수력원자력을 해킹 공격한 북한 추정의 해커 조직이 통일부가 최근 공개한 문서를 활용해 사이버 공격을 한 것으로 나타났다.
이스트시큐리티 시큐리티대응센터(ESRC)는 4일 “03일 ‘190101-신년사_평가.hwp’ 문서내용을 보여주는 APT(지능형지속위협) 공격이 발견되었다”며 “해당 위협조직(공격자)은 최근 대남 사이버공격을 수행한 바 있다”고 밝혔다.
해커 조직은 김정은 국무위원장 신년사에 대한 관심이 높은 시기에 실제 통일부가 공개한 공식 문서를 활용해 공격 대상자들의 경계심을 낮추려 했던 것으로 보인다.
ESRC의 분석결과를 바탕으로 추적한 결과 이번 사이버 공격은 지난 2014년 한수원 해킹의 배후로 지목된 조직으로 나타났다. 당시 정부합동수사단은 공격에 사용된 악성코드가 북한 해커 조직인 킴수키 계열 악성코드와 구성 및 동작방식이 거의 같으며 접속IP 중 5개가 북한 체신성에서 할당된 것이라고 발표한 바 있다.
이 조직은 지난 11월 청와대 국가안보실 사칭한 사이버 공격과 12월 탈북민 관련 사항으로 문서파일 취약점 기반 공격수행의 배후로도 강하게 의심받고 있다.
ESRC는 “(악성코드에 감염되면) 컴퓨터의 키보드 입력내용을 가로채기 하여 은밀히 저장하는 키로깅(Keylogging) 기능이 작동한다”며 “감염된 컴퓨터에서 수집된 정보들은 한국의 특정 포털 이메일 서비스를 경유해 해커에게 전송이 시도된다”고 전했다.
문종현 ESRC 이사는 이날 데일리NK에 “(악성코드에 감염되면) 운영체제의 환경에 맞는 DLL 파일(윈도우 동적 라이브러리 파일)이 작동하며 악성파일은 정상적인 문서처럼 보이도록 하기 위해서 ‘190101-신년사_평가.hwp’ 파일을 불러온다”며 “이는 한글프로그램의 취약점을 이용한 공격이 아니기 때문에 파일을 여는 즉시 감염돼 주의가 요구된다”고 말했다.
ESRC는 “해당 APT 위협 조직은 현재 한국을 상대로 지속적인 공격을 수행하고 있고, 매우 (활동이) 활발한 상황이다”며 “특히, 이번 공격은 최근까지 한국의 언론보도 등을 통해 널리 알려진 다양한 외교, 안보, 통일 분야의 사이버 침해사건과 연결되고 있다는 점에 주목된다”고 주의를 당부했다.
