이스트시큐리티가 통일부 북한인권기록센터를 사칭한 스피어피싱 공격을 포착했다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 지난달 29일 발생했다. 공격자는 '북한인권백서'를 첨부해 이메일을 유포했다. 이메일 내용에는 특정 사무관 소속과 이름 등을 기입했다.
첨부파일을 실행하면 '콘텐츠 사용' 버튼을 클릭하도록 유도했다. 버튼 클릭 시 악성 매크로 명령이 실행되고 파워셸 코드가 작동한다. 이용자 컴퓨터 정보는 파일로 저장되고 명령제어(C2) 서버와 통신, 정보를 탈취한다. 추가 명령에 따라 파워셸 기반 키로깅 기능이 은밀히 실행돼 입력되는 개인정보가 공격자에게 고스란히 넘어간다.
공격 배후로는 해킹조직 '탈륨'을 지목했다. '탈륨'은 지능형지속위협(APT) 공격을 펼치며 대북 관련 단체, 안보·통일 관계자를 겨냥해 사이버 첩보 활동을 전개한다.
문종현 ESRC 센터장은 “추석 연휴 전후로 대북 분야 단체장을 겨냥한 APT 공격이 동시다발적으로 진행됐다”면서 “갈수록 과감하고 노골적인 수법이 쓰이는 가운데 위협에 노출되지 않도록 민·관 주의와 관심이 요구된다”고 당부했다.
문 센터장은 “최근 공격자는 정상 이메일을 먼저 보내 의심을 피하고 수일 뒤 악성 파일과 인터넷주소(URL) 링크를 보내는 등 시간차 공격을 구사하고 있다”면서 “항상 의심하고 조심하는 보안 의식이 필요하다”고 강조했다.
오다인기자 ohdain@etnews.com