10.10 北 노동당 창건일 앞두고 언론사 노린 스피어 피싱 발견

오는 10일 북한 노동당 창건일을 앞두고 국내 언론사를 노린 스피어 피싱 공격이 감지됐다. 북한발 악성코드 활동이 눈에 띄게 증가해 주의가 요구된다. 2013년 3월 20일 사이버 공격 때도 언론사 전산망이 마비되는 피해를 입었다. 언론사 전산망 마비는 사이버 공격 홍보 효과가 커 주로 정치적 성향을 띠는 해커가 노린다.

5일 관련업계에 따르면 국내 방송사와 신문사를 표적한 사이버 공격이 감지됐다. 공격자는 표적 방송사 직원을 가장해 상사에게 `휴가 계획서`를 보냈다. 휴가 계획서를 실행하면 악성코드가 실행돼 감염되는 방식이다. 실제 해당 방송국은 휴가 계획서를 사용 중이다. 공격자가 사칭한 직원도 근무 중이다.

언론사를 노린 스피어 피싱이 발견됐다.ⓒ게티이미지뱅크
언론사를 노린 스피어 피싱이 발견됐다.ⓒ게티이미지뱅크

해당 악성코드는 5일 오전 9시 제작돼 유포됐다. 한컴오피스 보안 취약점을 이용해 첨부파일을 여는 순간 악성코드에 감염된다. 해당 한컴오피스 취약점은 최근 발견돼 보안 업데이트가 이뤄졌다. 한컴오피스를 업데이트하지 않은 PC는 악성코드에 감염된다.

해당 악성코드는 감염되면 PC에 저장된 파일을 유출한다. 공격자 명령&제어(C&C) 서버는 지속해서 악성코드를 새로운 버전으로 바꾸는 것으로 확인된다. 보안솔루션이 대응하지 못하게 최신 버전으로 교체하는 수법이다. 현재 해당 악성코드가 정보 유출 기능을 수행하지만 PC 마스터부트레코드(MBR)를 파괴할 수 있다. 공격자는 C&C를 통해 악성코드를 수시로 바꾸며 다양한 공격을 구사한다. 신문사 기자도 표적 공격을 받아 감염된 정황이다.

방송사 휴가신청서를 가장한 스피어피싱에 쓰인 문서.
방송사 휴가신청서를 가장한 스피어피싱에 쓰인 문서.

탈북자를 가장한 해킹 이메일도 발견됐다. 해당 이메일은 자기 소개와 함께 북한 생활을 설명한다. 북한 관련 기관이나 언론사에 보내는 제보용 이메일로 추정된다. 대북관련 기관과 언론사 각별한 주의가 요구된다.

북한 전문 사이버전 연구그룹 이슈메이커스랩 사이먼 최 대표는 “10월 10일을 앞두고 북한 발 사이버 공격이 눈에 띠게 증가해 긴장감이 높다”며 “최근 들어 번번이 대형 공격이 들통 난 공격자들이 빠르게 움직이고 있어 사이버 보안 대응에 만전을 기해야 한다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com