상단여백
HOME 클라우드 보안
외교안보 문건으로 위장한 스피어 피싱 이메일 공격사례 발견관련 분야 종사자 대상 타겟팅, 한국어로 정상파일 유도하는 고도수법 적용
[source=pixabay]

[IT비즈뉴스 김진수 기자] 외교·안보와 관련된 자료를 위장한 스피어 피싱 이메일 공격사례가 발견돼 사용자의 주의가 요구된다. 

3일 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 이번 스피어 피싱 이메일 공격은 지능형지속위협(APT) 공격 형태를 띄고 있으며 주로 외교, 안보, 통일 분야와 대북, 탈북 단체 종사자를 대상으로 유포되고 있다.

포착된 공격 사례는 ESRC가 지난달 21일 보고한 바 있는 워터링 홀(Watering Hole) 공격인 오퍼레이션 로우 킥(Operation Low Kick)와 동일조직의 소행으로 보여진다. 특정 조직의 사이버위협 공격이 지속적으로 행해지고 있는 점도 확인된 상태다.

ESRC는 이번 공격을 오퍼레이션 스텔스 파워(Operation Stealth Power)로 명명하고, 분석 결과를 발표했다.

포착된 공격사례는 ‘최근 한반도 관련 주요국 동향.hwp’, ‘3.17 미국의 편타곤 비밀 국가안보회의.hwp’ 등 외교·안보 분야의 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자만을 대상, 표적화해 발송하고 있다.

공격에 사용된 스피어 피싱 이메일 화면 [사진=ESRC]

공격조직은 이번 공격에서 ‘DLL’, ‘EXE’ 확장자의 악성 파일을 2차 다운로드하면서 사용자의 PC를 감염시킨 후 악성 행위를 진행하는 기존 방식보다 한 단계 진화된 수법을 적용했다.

수신자가 공격에 사용된 첨부 파일을 열람하면, 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버 위의 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력 값을 탈취하는 키로깅 행위를 수행하면서 이를 통해 각종 정보를 탈취하는 형태다.

또 유창한 한국어로 작성된 이메일 본문 내용으로 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울인 것처럼 위장해 수신자가 정상적인 자료 파일로 착각하게끔 유도하는 고도화된 수법이 적용된 점도 특징이다.

특히 hwp 문서 작성 프로그램에서 제공하는 파일 암호 설정 기능을 적용한 것은 이메일 수신자의 신뢰를 얻는 목적 외에도, 암호를 알기 전 소스코드 분석이 불가능한 점을 악용해 보안 프로그램의 파일 악성 여부 판단을 방해하려는 목적으로도 분석된다.

ESRC센터장 문종현 이사는 “특정 기관과 단체, 기업 종사자만을 표적해 악성 이메일을 발송하는 스피어 피싱 공격은 향후에도 지속적으로 이어질 것으로 판단된다”라며 “출처를 알 수 없는 URL, 이메일 첨부파일은 클릭하지 않는, 기본적이지만 놓치기 쉬운 보안 수칙 준수를 습관화하는 자세가 필요하다”고 당부했다.

현재 이스트시큐리티는 한국인터넷진흥원(KISA)와의 협력으로 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 백신 프로그램인 알약(ALYac)에서 공격에 사용된 악성코드를 탐지·차단할 수 있도록 긴급 업데이트도 완료한 상태다.

김진수 기자  embe@itbiznews.com

<저작권자 © IT비즈뉴스-아이티비즈뉴스, 무단 전재 및 재배포 금지>

김진수 기자의 다른기사 보기
icon인기기사
여백
Back to Top