상단여백
HOME 포커스 보안 포토
암호화폐 거래소 관리자 대상 APT 공격 사례 포착 '주의보'금융감독원 명칭 사칭한 사이버공격 사례 발견, 정부기반 위협그룹 수법 유사

[IT비즈뉴스 김진수 기자] 금융감독원 명칭을 사칭한 지능형지속위협(APT) 공격이 국내 암호화폐 거래소 관계자를 대상으로 공격 정황이 발견돼 주의가 요구된다.

이스트시큐리티는 암호화폐 거래소 관계자에게 첨부 파일을 열람하도록 유도하기 위해 유사수신행위 법률 위반 통지문 등 금융감독원이 발송한 것처럼 보이는 다양한 내용으로 작성된 공격 수법이 발견됐다고 밝혔다. 

[source=pixabay]

이스트시큐리티 시큐리티대응센터(ESRC)의 분석 자료에 따르면 공격에 사용된 악성 문서파일은 2018년 8월6일 오전 11시 31분경에 제작됐다. 문서 내용에는 고발인, 피고발인 등 특정인의 신상정보와 관계에 대한 내용이 구체적으로 기재돼 공격 대상자가 신뢰할 수 있도록 정교하게 꾸며졌다.

악성 문서파일의 스트림 내부는 16바이트의 XOR 코드로 암호화된 상태로, 공격 대상자가 문서를 열람하면 셸코드(Shellcode) 작동에 의해 미국에 소재한 특정 호스트로 접속을 시도하는 것으로 나타났다.

이후 어도비플래시(SWF) 파일로 위장한 악성 DLL 파일이 대상자의 PC에 설치되면서 공격자의 추가 명령을 수행하는 것으로 분석됐다.

이번 공격에서 사용된 유사수신행위 위반 통지서로 위장 악성파일 공격 방식은 지난해 6월경 비슷한 사례가 보고된 바 있다. 

당시 공격에 사용된 악성 문서를 통해 설치된 악성 파일은 2014년 미국에서 발생한 주요 보안 침해사고인 소니픽쳐스 내부 공격에 사용된 악성코드 계열과 동일한 코드로 작성된 것으로 분석됐다.

또 공격에 사용된 악성코드가 2009년부터 특정 정부 지원을 받는 것으로 추정되고 있는 해커가 사용하는 APT 공격 시리즈와 코드 유사성이 높은 것으로 분석됐다. 현재 ESRC와 한국인터넷진흥원(KISA)이 해당 악성 프로그램의 명령제어서버(C2) 정보를 신속하게 공유하고 국내에서의 접속이 차단된 상태다.

금융감독원 명칭을 사칭한 위장문서 [사진=ESRC]

공격 방식과 코드 유사성을 보면 이번 공격 위협은 오퍼레이션 아라비안 나이트(Arabian Night), 오퍼레이션 스타크루저(Operation Starcruiser)와 연계된 작전으로 보인다.

문종현 ESRC 이사는 "최근까지도 한국의 암호화폐 거래 관계자를 겨냥한 맞춤형 스피어 피싱 공격 정황이 포착되고 있다"며 "금감원의 공문서 사칭은 물론 암호화폐 지갑 개발자나 금융 산업 관련 컨퍼런스 문서 내용도 악용되는 만큼 보다 세심한 관심과 주의가 필요한 상황"이라고 말했다. 

이어 "특히 이번 공격은 기존에 특정 국가가 배후에 있는 것으로 알려진 정부기반 위협그룹의 공격 기법과 유사도가 높아 인텔리전스 보안강화에 힘써야 할 시기로 보인다"고 강조했다.

김진수 기자  embe@itbiznews.com

<저작권자 © IT비즈뉴스-아이티비즈뉴스, 무단 전재 및 재배포 금지>

김진수 기자의 다른기사 보기
icon인기기사
여백
여백
여백
여백
Back to Top