이스트시큐리티(대표 정상원) 시큐리티대응센터(이하 ESRC)는 북한 신년사 평가 내용을 담은 APT (지능형지속위협) 유형 악성코드가 발견돼 사용자 주의가 필요하다고 4일 밝혔다.
이 악성코드는 정부기관 공식 문건처럼 내용을 사칭한다. 2019년 1월 2일 오전에 제작된 최신 악성코드로 분석됐다.
ESRC에 따르면 북한 신년사 내용을 미끼로 한국 특정인을 노린 표적 공격이 매년 반복되고 있다. 주로 이메일 첨부파일을 활용한 스피어피싱 공격을 활용하는 양상이다. 지난 2017년과 2018년 공격이 HWP 문서파일 보안취약점을 악용했다면, 이번에는 EXE 실행파일 형태로 제작됐고 아이콘을 정상적인 HWP 파일로 위장했다.
ESRC는 공격코드를 분석해 지난해 11월 '작전명 블랙 리무진(Operation Black Limousine)' 공격을 수행한 조직의 소행인 것으로 확인했다. 이번 APT 공격을 '작전명 엔케이 뉴이어(Operation NK New Year)'로 명명했다.
이번 악성코드에 감염될 경우, 공격자가 미리 설정해둔 명령제어(C2) 서버와 통신이 수행된다. 키보드 입력 내용 수집(키로깅) 등 개인정보 유출 시도와 추가 악성코드 설치에 따른 원격제어 위협에 노출된다. 감염된 사용자PC로부터 정보를 수집하는 과정에 포털 이메일 서비스를 경유지로 악용하는 등 보안 솔루션 탐지 우회도 시도하는 것으로 확인됐다.
문종현 ESRC 센터장은 “연초부터 특정 정부 기반이 배후에 있는 것으로 알려진 해킹 조직이 한국을 상대로 은밀한 APT 공격을 수행하고 있어 각별한 주의가 필요하다”며 “최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우, 메일을 열어보기 전 신뢰할만한 발신자가 보낸 메일인지 세심히 살펴볼 필요가 있다”고 말했다.
팽동현기자 paing@etnews.com