사이버보안업체 이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)는 '2019 북한 신년사 평가'라는 제목의 정상 HWP 문서 파일로 위장한 지능형지속위협(APT) 악성코드가 발견됐다고 4일 밝혔다.
문제의 악성코드는 2019년 1월 2일 오전 제작됐으며 정부 기관을 사칭해 공식 문건처럼 위장하고 있다. ESRC는 이 공격을 수행한 조직이 지난해 11월 분석결과를 공개한 '작전명 블랙 리무진(Operation Black Limousine)' 공격을 수행한 조직과 동일하다고 판단하고, 이번 공격을 '작전명 엔케이 뉴이어(Operation NK New Year)'로 명명했다고 밝혔다.
ESRC 분석에 따르면 악성코드 감염 PC는 공격자가 미리 설정해 둔 명령제어서버와 통신해 키보드 입력내용 수집(키로깅) 등 개인정보 유출 시도와 추가 악성코드 설치에 의한 원격제어 위협에 노출될 수 있다. 공격자가 감염PC에서 정보를 수집하는 과정에 포털 이메일서비스를 경유지로 악용한다. 이는 백신 등 보안솔루션 탐지 우회 시도 중 하나로 언급됐다.
관련기사
- "내년 5G 관련 인프라 및 IoT 보안 촉각"2019.01.04
- 이스트시큐리티 '2019년 보안 위협 톱5' 발표2019.01.04
- 연말정산 안내 메일로 위장한 악성코드 확산2019.01.04
- "2019년 크립토재킹, IoT로 확산될 것"2019.01.04
ESRC 센터장 문종현 이사는 '새해 초부터 특정 정부를 배후로 활동한다고 알려진 해킹 조직이 한국을 상대로 은밀한 APT 공격을 수행하고 있어 각별한 주의가 필요하다"며 "최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우, 메일을 열어보기 전 신뢰할만한 발신자가 보낸 메일인지 세심히 살펴볼 필요가 있다"고 말했다.
ESRC에 따르면 북한의 신년사 내용을 미끼삼아 한국의 특정인을 노린 표적 공격이 해마다 반복돼 왔다. 공격자는 그간 공격자는 주로 이메일 첨부파일을 활용한 스피어 피싱(Spear Phishing) 공격을 활용하는 양상을 보였다. 지난 2017년과 2018년에도 이번과 유사한 APT 공격이 발견됐다. 당시 HWP 문서 파일 보안취약점이 활용됐다면, 이번엔 HWP 문서처럼 보이게 위장한 EXE 실행파일이라는 게 특징이다.
