[아이뉴스24 김국배 기자] 블루노로프(Bluenoroff), 김수키(Kimsuky), 스카크러프트(Scarcruft).
세 개 해킹 조직이 한글 문서(HWP) 파일을 악용해 국내 이용자를 대상으로 사이버 공격을 지속하고 있는 것으로 나타났다.
금융보안원은 2015년부터 올해 상반기까지 알려진 악성 한글 문서을 분석한 '한글 문서를 이용하는 악성코드 프로파일링' 보고서를 6일 발표했다.
세 조직은 특정 인물이나 조직에게 사회공학 기법을 통해 스피어피싱 이메일을 보냈다. 첨부된 한글 문서를 열람할 경우 악성코드에 감염되는 방식이다. 이메일 수신자가 신뢰할 수 있도록 구체적인 제목과 내용을 담고 있다.
특히 공격 성공률을 높이기 위해 정부나 공공기관을 사칭하며 조사 및 협조 요청 관련 내용을 가장한 경우가 많았다. 이메일 발신 주소는 주로 국내 포털로, 포털의 일반 사용자 계정을 탈취해 악용한것으로 나타났다.
이 중 블루노로프는 방글라데시 중앙은행 송금망 해킹 배후로 지목된 그룹이다. 북한 추정 해킹 조직인 라자루스와 같은 조직 내 존재하는 다른 팀으로 추정된다.
특히 블루노로프는 지난해부터 악성 한글 문서를 악용해 공격을 진행중인 것으로 보인다. 작년 4월 악성 한글 문서에서 블루노로프의 공격도구가 추가로 생성된 게 포착됐다. 올해 6월에는 암호화폐 거래소와 이용자를 대상으로 위협을 가하고 있다.
보고서는 "라자루스는 3·20 사이버 테러와 같은 사회 혼란 목적의 공격을 주로 담당하고, 블루노로프는 자신들이 만든 공격 툴을 사용해 금전적 이득을 취하는 공격을 수행하는 것으로 보인다"고 분석했다.
또 김수키 그룹은 금전 취득보다는 탈북자, 정치인 감시가 주목적으로 판단되는 조직이다. 2014년 12월 한국수력원자력 직원 3천571명에게 5천986통의 스피어피싱 이메일을 발송해 PC 디스크 등을 파괴하려 시도했다. 2016년 1월 정부연구기관을 대상으로 '청와대 국가안보실'을 사칭해 발송된 대랑의 이메일에서 김수키 계열 악성코드가 확인됐다.
2012년부터 활동해온 것으로 추정되는 스카크러프트는 국내 유명기관, 정치 단체를 대상으로 데이터 탈취·파괴를 수행하는 조직이다.
특히 한글 문서 취약점을 자주 사용하며, 악성코드 내 'First' 'Happy' 'Work' 등의 문자열을 포함하는 특징을 갖고 있다. 올 1월 일어난 어도비 플래시 제로데이 취약점 공격 배후로 추정된다.
이처럼 국내에서 악성 한글 문서를 악용한 공격이 끊이지 않는 이유는 정부기관이 주요 공문서를 한글 문서로 작성하며, 이로 인해 수많은 민간 기업이 한글을 사용하는 등의 환경 탓으로 풀이된다.
금보원은 "국내의 특수한 환경으로 인해 공격자는 한글 문서를 악용해 지속적으로 악의적인 행위를 수행하고 있다"며 "최신 업데이트 적용 등 조치를 통해 보안 사각지대를 제거하는 작업이 지속적으로 이뤄져야 한다"고 조언했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기