[아이뉴스24 김국배 기자] 2차 북미정상회담 앞두고 관련 내용의 문서를 미끼로 한 악성코드가 유포된 정황이 포착됐다.
특히 이 공격을 수행한 해커 조직은 특정 정부의 지원을 받으며 지속적으로 해킹을 시도하고 있는 것으로 분석돼 주목된다. 25일 안랩, 이스트시큐리티 등 보안업체에 따르면 최근 정상회담과 관련된 내용의 악성 문서 파일이 유포됐다.
도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 오는 27일과 28일 베트남 하노이에서 정상회담을 가질 예정이어서 관심이 집중되는 가운데 이번에 발견된 악성 문서 파일은 '한미우호협회'가 다음달 2일 정상회담 결과에 관한 평가, 북한 비핵화 전망, 대북정책 방향 등을 주제로 특별좌담회를 개최한다는 내용을 담고 있다.
이스트시큐리티가 발견한 악성 파일의 경우 지난 21일 오전 10시 45분께 제작된 것으로 분석됐다. 이날은 정상회담을 위한 의제 협상이 하노이에서 시작된 날이기도 하다.
해당 파일은 '한글(hwp) EPS(Encapsulated PostScript)' 취약점을 악용했다. EPS는 일종의 그래픽 파일 형식이다. EPS 파일을 이용한 악성 한글 문서 파일은 랜섬웨어처럼 불특정 다수를 공격대상으로 삼기보다 정부나 주요 인사 등을 타깃으로 공격하는 경우가 많아 민감 정보 유출 가능성이 더 크다고 안랩은 설명했다.
특히 이스트시큐리티는 이번 공격이 2014년 한국수력원자력 해킹과 직접적으로 연관된 조직의 소행으로 추정했다. 지난해 11월 통일·외교·안보 관련 분야 정보를 노린 해킹 시도와도 유사성이 크다는 설명이다. 이 조직은 작년 5월에는 '판문점 선언' 관련 내용의 문서로 공격을 감행하기도 했다.
문종현 이스트시큐리티 이사는 이번 정상회담 공격에 대해 "이메일이 악성 한글 문서 파일을 첨부해 공격 대상자에게 은밀히 전달하는 '스피어 피싱' 수법을 사용한 것으로 보인다"고 설명했다.
보안업계에서는 오래 전부터 한수원 해킹 그룹을 북한 정부가 지원하는 '김수키' 조직의 소행으로 판단하고 있다. 금융보안원 분석보고서에 의하면 김수키 조직은 금전 취득보다는 탈북자, 정치인 감시가 주 목적이다. 2014년 12월 한수원 직원 3천571명에게 5천986통의 스피어 피싱 이메일을 보냈다.
정상회담에 국민 관심이 쏠리면서 추가로 관련 악성코드가 유포될 가능성이 높은 만큼 보안업계도 상황을 예의주시하고 있다.
한글과컴퓨터는 이미 2017년초 EPS 파일 처리 과정에서 악성코드가 실행되는 문제를 막기 위한 보안 업데이트를 제공했다. 최신 업데이트가 적용된 한글 프로그램에서는 EPS를 악용한 악성 한글 파일이 동작하지 않는다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기