[아이뉴스24 김국배 기자] 대북단체를 공격하던 해킹 조직이 이번에는 국내 기업 인사담당자로 위장해 스피어 피싱 공격을 수행한 것으로 파악됐다.
23일 국내 보안업체 이스트시큐리티에 따르면 대북단체를 주로 공격해온 지능형지속위협(APT) 공격 조직 '금성 121'이 이달 들어 국내 특정 대상을 겨냥한 스피어피싱을 감행한 정황이 발견됐다.
공격자는 악성링크를 포함한 이메일을 보내 클릭을 유도한다. 클릭을 통해 다운로드된 악성문서를 실행할 경우 취약점 존재여부에 따라 네이버 백신 아이콘으로 위장한 추가 악성파일이 설치된다.
악성파일을 보면 공격자는 '로켓(Rocket)'이라는 이름의 프로젝트 폴더에서 악성코드 변종을 지속적으로 제작했다. 이스트시큐리티는 이번 공격을 '오퍼레이션 로켓맨'이라고 이름붙였다.
특히 악성코드에서 어린아이를 의미하는 중국어 영문 표기(Haizi)가 확인됐으며, 'PAPA'라는 문자가 나왔다. 아버지를 뜻하는 중국어 영문 표기는 'BABA'다. 공격자의 모국어가 중국어가 아니라는 단서가 될 수 있다는 게 회사 측 설명이다.
이뿐만 아니라 코드 내 중국과 연관된 다양한 기록들이 남겨져 있으나, 이는 추적에 혼선을 주기 위해 교란 작전으로 분석된다. 또한 공격자는 정상적인 클라우드 인프라 서비스(IaaS)를 이용해 교묘히 통신을 수행하고 있어 유해 트래픽을 식별하기 어렵다.
현재 이스트시큐리티는 해당 내용을 한국인터넷진흥원(KISA)과 공유하고 유포를 차단한 상태다.
그간 국가 지원 해커 조직으로 보이는 금성121은 최신 보안 취약점을 악용해 대북단체와 국방 분야 관계자를 공격해왔다. 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불린다.
지난 3월에는 안드로이드 기반 모바일 스피어 피싱 공격을 수행하는 등 PC를 넘어 스마트폰까지 노리는 추세다. 당시 공격자는 모바일 보안 프로그램을 위장했다. 아울러 카카오톡 PC버전을 통해 악성코드를 유포하기도 했다.
문종현 이스트시큐리티 시큐리티대응센터 이사는 "한국을 노리다보니 국내 보안 프로그램을 위장하는 수법을 활용하는 것으로 보인다"며 "이번 공격도 대북단체를 노린 것으로 추정중"이라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기