[아이뉴스24 최은정 기자] 미국 대선 결과에 따른 '바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제' 내용 문건으로 사칭한 악성 파일이 발견됐다.
17일 이스트시큐리티에 따르면 해당 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있다. 이 문서가 첨부된 이메일 본문에는 파일을 다운로드할 수 있는 인터넷주소(URL)가 기재돼 있다.
이 URL은 마치 국내 특정 포털사의 인터넷 주소인 것처럼 위조돼 있어 수신자가 의심 없이 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계돼 있다는 게 회사 측 설명이다.
만약 메일 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 '콘텐츠 사용' 버튼을 클릭하도록 유도한다.
버튼을 클릭하면 정상적인 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로 명령이 작동한다. 이렇게 되면 PC 정보를 해커가 지정한 서버로 전송하고 추가 원격제어 등 해킹 피해로 이어질 수 있는 상태가 된다.
해당 문서는 '미국과 북한의 비핵화 협상 제안과 회담 내용' 등을 담고 있다. 회사 측은 관련 분야에서 활동하거나 관심을 가진 사람을 대상으로 공격을 감행했을 가능성이 높아 보인다고 분석했다. 또 악성 문서 파일 기반으로 공격한 점을 미뤄보아 이번 공격은 전형적인 스피어 피싱 공격일 가능성이 높을 것으로 봤다.
이스트시큐리티 시큐리티대응센터(ESRC)는 분석 결과, 'naver.midsecurity[.]org' 서버를 통해 악성 워드 문서가 배포됐고, 정보 탈취 및 명령제어(C2) 서버로 확인됐다. 공격 단계별로 보면 C2 서버와 통신을 수행하고, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 내려보내는 수법이 활용됐다.
아울러 이번 공격에 사용된 고유한 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0Qmi)과 공격패턴은 이전 탈륨 조직이 사용한 것과 유사성이 있는 것으로 확인됐다. 이번 악성 파일은 백신 프로그램 '알약'에서 탐지 차단하고 있다.
문종현 이스트시큐리티 ESRC센터장(이사)은 "올 하반기의 보안 상태를 진단하며, 한국에서 탈륨 조직의 사이버 위협 수위가 예사롭지 않음을 확인했다"며 "유사한 위협에 노출되지 않도록 특별한 주의와 민관의 선제적 대응이 요구된다"고 당부했다.
이어 "최근에는 이메일 공격에 더해 해킹으로 탈취한 계정의 대화에 은밀히 개입해 신분도용 기반 중간자 공격도 포착되고 있다"고 말했다.
최은정 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기