국방·안보분야 전문가에 수상한 메일, 北 연계조직 추정

외교·국방·안보 분야 전문가들의 정보를 빼내기 위한 피싱메일이 기승을 부리고 있는 것으로 조사됐다. 북한 정찰총국 연계 해킹조직의 소행이라는 분석도 나왔다. 5일 이스트시큐리티 보안공지에 따르면 지난 1일 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 구사한 해킹 시도가 있었던 것으로 확인됐다. 스피어피싱이란 특정 개인이나 단체를 겨냥한 사이버공격 형태를 일컫는 용어다. 이번에 확인된 메일에는 마치 다가오는 행사의 세부 계획 초안이나 논문심사와 관련한 워드(doc) 문서파일인 것처럼 수신자를 현혹시키는 내용이 담겨 있었다. 실제 이메일에 첨부된 파일이 아니라 특정 웹사이트(files.cllouds.great-site[.]net)에 접속해 악성 워드파일을 내려받도록 유도하는 식이었다. 이같은 이메일로 다운로드되는 파일의 이름은 '논문(국방대 65-2-12).doc', 'KIMS-CNA Webinar 세부계획 초안.doc' 등이었다. 보안제품의 차단이나 의심을 최대한 피하기 위해 접속 시차에 따라 서버에서 악성과 정상 파일을 선택적으로 배포하는 수법을 쓴 것으로 파악됐다. ESRC(이스트시큐리티 시큐리티대응센터)는 "이번 공격은 국방·안보 분야의 전·현직 고위관계자를 타깃으로 수행됐다"며 "만약 워드 파일에 포함된 악성 매크로를 허용할 경우 freunkown1.sportsontheweb[.]net' 명령 제어(C2) 서버와 은밀히 통신을 수행하고 컴퓨터에 존재하는 정보 수집 및 탈취를 시도한다"고 설명했다.

국방·안보분야 전문가에 수상한 메일, 北 연계조직 추정

사이트 방문