국내 기업을 겨냥한 지능형지속위협(APT) 공격이 거세다. 공격자는 중국 해킹조직으로 추정된다.
이스트시큐리티 시큐리티대응센터(ESRC)는 국내 기업에 가해지는 APT 공격이 눈에 띄게 증가했다며 보안 강화를 당부했다.
지난달부터 국내 온라인 게임사와 언론사 등을 대상으로 다소 어눌한 한글 표현을 사용한 스피어피싱 이메일이 여러 건 발견됐다. 주로 외부에 노출된 그룹메일 계정으로 공격이 수행됐다.
공격자는 초기부터 워드 문서를 악용했다. '직원 활동 보너스 신청서.docx' '직무 요구와 대우.docx' 등을 파일 제목에 사용해 이용자가 열어보도록 유인했다. 최근에는 회사 내부 문서나 이력서를 사칭한 파일도 활용했다. 지난 18일 포착된 공격에는 특정인 이력서와 주민등록증, 학위증 등 개인정보가 담겼다.
이들 문서는 최초 실행되면 개인정보 옵션 화면인 것처럼 조작한 이미지를 보여준다. 보안과 개인정보 보호를 위해 매크로 실행이 필요하다면서 '콘텐츠 사용' 기능을 허용하도록 유도한다. 실제로는 악성코드가 담긴 원격 템플릿 매크로 파일을 호출한다. 추가 공격이 가능해진다.
이들 문서는 대부분 중국어 기반으로 작성됐다. ESRC는 이번 공격 배후로 중국 해킹조직을 지목했다. 국내 기업에 공격이 집중된다는 점, 최근 비트코인 관련 악성문서가 연이어 보고된 점, 민감한 개인정보까지 공격에 도용됐다는 점 등을 고려할 때 각별한 주의가 필요하다고 경고했다.
문종현 ESRC 센터장은 “이번 해킹조직은 국내 특정 디지털 서명을 사칭해 위협 탐지를 회피하려고 한다”면서 “아직 어눌한 한국어로 위협을 가하지만 추후 정교하게 발전할 수 있어 각별한 주의를 기울여야 한다”고 말했다. 이어 “라자루스, 김수키, 금성121 등 APT 조직 활동이 두드러지는 시점에 중국인으로 추정되는 해킹조직까지 합세한 것은 그만큼 국내 위협 범위가 커졌다는 것”이라고 덧붙였다.
오다인기자 ohdain@etnews.com
