탈북, 대북 등 북한 관련 문서파일을 담은 스피어피싱 공격이 다수 포착됐다. 정상적인 내용으로 위장했지만 취약점이 존재하는 한글문서 파일을 첨부해 표적이 사용 중인 이메일 계정으로 발송한다. 다수 변종이 지속 보고되고 최신 취약점을 은밀하게 이용해 기업과 기관 등에 주의가 요구된다.
이스트소프트(대표 정상원)에 따르면 국내 특정 기관이나 기업에 소속된 개인의 이메일을 대상으로 `스피어피싱` 공격 징후가 연이어 포착됐다.
이번 공격징후는 지난 8월부터 지속 이어져 오며 주로 국내 연구기관이나 대북 통일 관련 분야 종사자를 공격 표적으로 삼았다. 표적 인물이 사용 중인 이메일 계정으로 취약점이 존재하는 한글문서 파일이 첨부된 가짜 업무메일을 보낸다.
첨부된 문서 파일을 실행하면 정상적인 내용이 나타나지만 실제로는 해커가 만들어 둔 해외 특정 서버에 사용자 몰래 접속한다. JPG 이미지 파일로 위장된 또 다른 악성 프로그램을 사용자 PC에 다운로드한다. 이미지 파일로 위장한 악성 프로그램은 다시 암호화된 악성 파일을 추가로 내려 받는다. 감염된 PC 정보가 수집돼 해외 서버로 전송되고 추가 명령으로 원격 제어 등 피해도 입을 수 있다.
이스트소프트는 불특정 다수를 노린 일반적인 사이버 범죄 유형과 달리 국가기관이나 주요 기업 내부 기밀정보를 탈취하기 위한 고도화된 맞춤형 공격 수법으로 파악했다. 현재 사용자 피해 방지를 위해 유관기관과 함께 긴밀한 대응 상태를 유지 중이다. 알약에서는 이번 해킹 공격에 사용된 악성 문서를 `Exploit.HWP.Agent` 등으로 탐지한다.
김준섭 이스트소프트 보안사업본부장은 “국가기관이나 연구소 등을 대상으로 하는 표적형 스피어피싱 공격이 갈수록 지능화 된다”면서 “출처가 불분명한 이메일 첨부파일을 열어보지 않는 등 내부자 보안 수칙 준수가 중요하다”고 말했다.
박정은기자 jepark@etnews.com
