제2차 북미정상회담 개최(27~28일)가 일주일도 채 남지 않은 가운데, 북한 해커 조직이 정상회담 정보를 탈취하기 위한 목적으로 피싱 공격을 시도한 것으로 나타나 주의가 요구된다.
이스트시큐리티 시큐리티대응센터(ESRC)는 21일 “이날 오전 제작된 새로운 지능형 지속위협(APT) 공격이 발견됐다”며 “이 공격은 특정 정부가 지원하는 해킹조직으로 분류되어 있고, 2014년 한국수력원자력(한수원) 공격에 직접 연결된 조직”이라고 밝혔다.
지난 2014년 정부합동수사단은 한수원 해킹 공격에 사용된 악성코드와 접속 IP(Internet Protocol) 등을 분석한 결과, 북한 해커조직이 사용하는 것으로 알려진 킴수키 계열 악성코드와 구성 및 동작 방식이 유사하다면서 접속 IP 중 5개가 북한 체신성에서 할당된 것이라고 발표한 바 있다.
ESRC는 “(이번 공격이) 2018년 11월 27일 공개했던 ‘작전명 블랙 리무진’의 후속 캠페인으로 확인됐다”며 “위협조직이 사용한 공격은 이메일에 악성 HWP 문서파일을 첨부해 공격 대상자에게 전달하는 이른바 스피어피싱(Spear Phishing) 수법으로 보인다”고 전했다.
ESRC가 밝힌 ‘작전명 블랙 리무진’은 지난해 11월 ‘개인정보 활용동의서’라는 문서를 이용해 안보·외교·통일 관련 분야를 겨냥한 APT 공격으로 해당 공격 조직은 지난달 통일부 기자단을 상대로도 대규모 피싱 공격도 수행한 바 있다.
ESRC는 ”이번 공격에선 2차 북미 정상회담 결과에 대한 특별좌담회 (개최 예정) 문서파일을 미끼로 사용했다”며 “(악성코드에 감염되면) 특정 명령제어(C2)로 통신을 시도하여, 공격자의 추가적인 명령을 수신하게 된다”고 밝혔다.
해당 문서는 한국과 미국의 우호를 증진하기 위한 민간단체의 문서로 해커는 이 단체의 회원들 중 외교, 안보 전문가들로부터 정상회담 관련 정보를 탈취하기 위해 공격을 시도한 것으로 보인다.
이에 대해 문종현 ESRC 이사는 이날 데일리NK에 “공격에 사용된 문서는 실제 해당 단체에서 21일 배포한 자료로 해커가 메일 발신자 혹은 수신자 중 일부를 해킹해 문서를 탈취하고 재배포했을 가능성이 있다”며 “악성코드에 감염되면 컴퓨터 내부 정보가 외부로 유출되거나 공격자의 추가 명령에 따라 컴퓨터가 원격제어 되는 등 2차 피해로 이어질 수 있다”고 말했다.
이어 문 이사는 “해커가 이용하는 보안 취약점은 프로그램 개발사에서 이미 해결한 문제로 최신 보안 업데이트가 적용된 한컴오피스 프로그램이라면 이번 공격에 사용된 악성코드가 작동하지 않는다”며 “한컴오피스 한글문서 프로그램을 최신버전으로 업데이트하거나 의심스러운 이메일은 열람하지 않는 것이 악성코드 감염을 예방하는 방법의 하나”라고 덧붙였다.
한편, 본지는 익명의 보안 전문가를 인용해 북한 추정 해커 조직이 북미정상회담 정보 탈취 목적으로 해외 한인들과 기업들을 대상으로 해킹공격을 시도하고 있다고 보도한 바 있다.
