[아이뉴스24 김국배 기자] 대북 관련 단체 인사들을 겨낭한 '스피어 피싱' 공격 정황이 또다시 포착됐다.
30일 보안업체 이스트시큐리티에 따르면 지난 주말인 27~28일 정상적인 배너 이미지 파일처럼 위장한 악성코드가 유포됐다.
공격자는 29킬로바이트(KB) 크기의 한글(hwp) 문서 파일을 첨부해 이메일을 보냈다. 이메일 본문에는 별다른 내용을 포함시키지 않았다. 단순한 호기심에 첨부 파일을 열도록 유도하는 형태다. 대북 단체에서 활동하는 인사를 표적으로 삼은 것으로 보인다고 회사 측은 분석했다.
이스트시큐리티 측은 이번 공격이 일명 '금성121' 조직이라 부르는 북한 해킹 조직 소행으로 추정하고 있다. 악성코드 분석 결과 코드 유사성 등 여러 유사성을 갖고 있기 때문이다.
이 조직은 2013년 전후로 한국 등을 상대로 사이버 공격을 수행해온 것으로 파악되고 있다. 워터링홀, 스피어피싱 등의 수법을 써 주로 국내 외교·안보·통일·국방 분야나 대북단체, 탈북민 등을 노린다.
특히 2014년 한국수력원자력 해킹 공격을 수행한 '김수키' 조직과도 활동 반경이 겹쳐 연관성을 의심받고 있다.
현재 이 조직은 국내를 대상으로 꾸준히 사이버 공격을 감행하고 있다. 지난해 3월과 8월에는 국내 모바일과 PC 보안 프로그램을 위장한 악성코드로 공격을 시도한 사례가 발견되기도 했다. 역시나 탈북민, 대북단체 등이 타깃이 됐다.
올 1월에는 설 연휴 시즌에 맞춰 '홍삼6품단가'라는 제목의 엑셀 파일을 악용한 스피어피싱이 확인됐으며, 3월에도 이력서 원본을 보내는 것처럼 가장한 스피어 피싱 공격이 있었다.
이런 일련의 공격에는 대부분 hwp 취약점이 쓰이고 있다. '제로데이' 취약점이 아니라 이미 보안 패치가 나온 취약점이 지속적으로 악용된다.
문종현 이스트시큐리티 이사는 "이용자들은 반드시 최신 버전으로 문서 소프트웨어를 업데이트해 유사한 위협에 노출되지 않도록 각별한 주의해야 한다"고 당부했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기