연말 외교·안보 종사자 대상 자료요청, 알고 보니 北 연루 해킹 위협
외교·안보·국방 및 대북 분야에 종사하는 전문가들을 상대로 마치 자문요청이나 참고자료처럼 가장한 해킹 시도가 지속적으로 포착되고 있어 관련자들의 각별한 주의가 필요합니다.
이러한 공격은 주로 피싱 메일로 시작되며, 정치외교 전공 대학교수나 싱크탱크 연구원, 대북 분야 협회나 단체에 소속된 인물, 평화통일 유관 업무 공무원 등 분야별 전문가를 다양하게 사칭해 접근하고 있습니다.
피싱 메일은 마치 공신력 있는 기관 또는 단체에 소속된 관계자가 발송한 것처럼 위장하여 사용자들의 신뢰를 얻으려 시도합니다.
다만, 해커가 제작한 여러 피싱 사이트의 화면들이 대체로 유사하여 사용자들이 세심한 주의를 기울이면 유사 위협을 예방할 수 있을 것으로 예상됩니다.
공격자는 사용자가 이메일 내 첨부파일 다운로드 영역 클릭 시 피싱 사이트로 연결되도록 조작해 놓았습니다. 연결되는 피싱 페이지는 '대용량 파일 다운로드' 페이지 처럼 교묘하게 제작되어 있으며, 다운로드 기한을 명시하여 [다운로드] 링크에 접근하도록 유인합니다.
이용자가 만약 [다운로드] 주소를 클릭하면 본인인증을 위한 암호 입력을 요구하는 가짜 로그인 창을 나타나 계정 탈취를 시도하거나 또는 실제 악성코드가 삽입된 MS Word DOC 문서 파일 등이 받아지는 등 공격자 의도에 따라 달라지는 걸로 확인되었습니다.
우리는 이러한 공격 활동을 '스모크 스크린(Smoke Screen)'이라 명명하였습니다.
스모크 스크린 캠페인은 연막 작전을 펼치듯 공격자가 국적과 신분을 숨긴 채 아웃소싱에 참여한다는 의미로 수년 전부터 현재까지 꾸준히 이어지고 있습니다.
이들은 해킹을 통한 기밀정보 및 암호화폐 탈취는 물론, 프로그램 개발 대행 등을 통해 외화벌이 활동을 수행하고 있습니다. 스모크스크린은 베일에 가려진 인물 정보를 추적하여 그 뒤에 숨은 실체에 접근하고 북한을 배후로 지목한 대표적인 분석 사례입니다. 이처럼 신원이 불확실한 가명의 개발자에게 프로그램 개발 의뢰를 진행하는 것은 잠재적 사이버 위협에 노출될 위험이 있습니다.
이 뿐만 아니라, 특정 연구원의 질문지 답변에 따른 소정의 사례비 지급 명목으로 DOC 서식 파일을 보내 열람을 유도하는 형태의 공격도 발견되었습니다. 해당 악성 문서는 12월 15일까지 서식을 작성하도록 현혹하였으며, 30만원의 사례비로 유인하여 해킹을 시도하였습니다.
처음 악성 DOC 문서 파일이 실행되면, [콘텐츠 불러오기 오류 발생]이라는 가짜 오류 메세지를 보여주며 MS 오피스의 기본 보안 설정인 [콘텐츠 사용] 버튼 실행을 유도하여 악성 매크로 실행을 시도합니다. 사용자가 [콘텐츠 사용] 버튼을 누르면 악성 매크로가 실행되기 때문에 절대로 이러한 화면에 현혹되지 말아야 합니다.
북한 배후로 지목된 해킹 공격은 연말에도 계속 전개 중이며, 사이버 안보 위협 수위와 공세는 갈수록 거세지고 있는 추세입니다. 특히 최근 공격에는 한국의 특정 웹서버들이 공격 거점으로 악용되고 있으며, 국내 웹 게시판을 사용하는 공통점을 갖고 있어 신규 보안 취약점 악용 여부 등 추가 조사를 진행중에 있습니다.
이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트하였으며, 피해 확산 방지를 위한 대응 조치를 국가사이버안보협력센터와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.