北 연계 해킹그룹 금성121 배후 APT공격 발견 ‘주의보’

북한과 연계된 해킹그룹으로 알려진 금성121의 새로운 지능형위협(APT) 공격이 발견돼 주의가 요구된다. 

8일 이스트시큐리티에 따르면, 이번에 발견된 공격은 이메일에 악성파일을 첨부해 보내는 스피어 피싱 기법이 사용됐다. 첨부된 악성 파일은 북한의 최근 정세와 안보 관련 주제의 문서를 가장해 특정 인권단체의 대표를 표적으로 삼았다.

이스트시큐리티는 이번 공격은 사전에 SNS를 통해 공격 대상과 친분을 만든 뒤 악성 파일을 전달하는 치밀한 수법이 사용됐다고 설명했다. 

공격자가 특정 인물의 SNS 계정을 해킹하고 친구 관계로 연결된 또 다른 사람을 물색해 추가 공격대상을 선정했다. 

일상 대화를 통해 경계심을 낮추고 친분을 확보한 후, 자신이 작성한 최근 북한 정세와 관련된 칼럼에 대해 조언을 구하는 식으로 악성 DOC 문서파일을 공격대상에게 이메일로 전달하는 수법을 사용했다. 첨부된 문서파일에는 악성 매크로 명령이 삽입됐다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석 결과, 이번 공격에 사용된 악성파일은 지난해 3월 위장 탈북 증거를 사칭한 ‘스파이 클라우드’ APT 공격과 매우 유사한 것으로 나타났다.

단, 이번 악성파일에 삽입된 매크로 함수 중 난독화 루틴이 일부 변경된 것으로 확인되었다.

이외에도 코드 내부에서 사이버 무기를 의미하는 ‘Weapon’ 경로가 사용됐으며 ‘bluelight’ 문자열도 여럿 발견됐다.

ESRC는 이번 사건의 배후로 북한 연계 해킹그룹인 ‘금성121’ 조직을 지목했다. 이 조직은 최근 대북 분야 언론매체를 겨냥한 워터링 홀(Watering Hole) 공격과 함께 안드로이드 기반 스마트폰 이용자를 노린 스미싱 공격까지 수행하면서 공격수위를 높이고 있다.

금성121이 최근 수행한 안드로이드 기반 스파트폰 스미싱 공격은 악성 APK 앱이 설치되면 저장된 주소록, 문자메시지, 통화 내역, 위치정보, 녹음, 사진 파일 등 개인정보가 대거 유출될 수 있어 주의가 요구된다.

ESRC센터장 문종현 이사는 “금성121 조직은 특정 국회의원을 포함해 유명인사의 휴대폰을 해킹해 개인정보를 탈취한 바 있고, 대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속적으로 노리고 있다”고 말했다.

이어 “특히 모바일, 이메일로 마치 지인이나 업계 전문가 인척 연락하는 경우가 많아 APK, DOC 문서파일 등을 보내올 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다”고 당부했다.