이스트시큐리티가 북한 연계 해킹조직으로 알려진 '금성121'의 새로운 지능형지속위협(APT) 공격을 발견하고 이용자 주의를 당부했다.
이번 공격은 이메일에 악성 파일을 첨부하는 전형적인 스피어피싱 기법이 사용됐지만, 사전에 사회관계망서비스(SNS)를 통해 표적과 친분을 만든 뒤 이를 전달하는 치밀함을 보였다.
악성 파일은 북한 정세와 안보 주제 문서를 가장했으며 국내 특정 인권단체 대표를 표적으로 삼았다. 공격자는 이메일 발송 전 표적 인물의 SNS 계정을 해킹한 뒤 친구 관계로 연결된 다른 이를 물색, 친분을 쌓았으며 이후 조언을 구하는 식으로 악성 워드 파일을 이메일로 전달했다.
첨부된 문서 파일에는 악성 매크로 명령이 삽입돼 있어 메일 수신자가 '콘텐츠 사용'을 허용할 경우 해킹 위협에 노출된다.
이스트시큐리티 시큐리티대응센터(ESRC) 분석 결과 악성 파일은 지난해 3월 위장 탈북 증거를 사칭한 APT 공격과 유사한 것으로 나타났으며 공격 배후로는 금성121이 지목됐다. 금성121은 최근 대북 분야 언론 매체를 겨냥한 워터링홀 공격과 함께 안드로이드 기반 스마트폰 이용자를 노린 스미싱 공격까지 수행하며 공격 수위를 높여가고 있다.
문종현 ESRC 센터장은 “금성121은 국회의원과 유명인 휴대폰을 해킹해 개인정보를 탈취한 바 있고 대북 단체 홈페이지를 침해하거나 가짜 페이스북 계정을 만들어 북한 분야 종사자들을 지속적으로 노리고 있다”면서 “모바일이나 이메일로 지인이나 업계 전문가인 척 연락하는 경우가 많아 문서를 받을 경우 반드시 발신자와 직접 통화해 확인하고 열람해야 한다”고 강조했다.
오다인기자 ohdain@etnews.com
