보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 북한 정부 지원 사이버공격, 갈수록 거세진다 [전자신문 Etnews 3월 20일자]
아이디 | admin
날  짜 | 2019-03-21
조  회 | 109

북한 정부 지원 사이버공격, 갈수록 거세진다


금성121 조직이 스피어피싱 공격에 사용한 한글문서. 일부 문구에 걸린 하이퍼링크를 누르면 악성파일이 실행된다.

<금성121 조직이 스피어피싱 공격에 사용한 한글문서. 일부 문구에 걸린 하이퍼링크를 누르면 악성파일이 실행된다.>

북한정부로부터 지원받는 것으로 추정되는 사이버범죄조직 움직임에 변화가 감지된다. 국내를 겨냥한 공격 규모와 범위가 확대되는 추세다. 

이스트시큐리티 시큐리티대응센터(ESRC)는 '금성121'로 명명한 위협조직이 지난 18일 수행한 APT 공격을 발견했다. 공격자는 이력서 원본을 보내는 것처럼 위장한 스피어피싱 이메일을 유포했다. 대북관련 분야에 활동하는 인사를 주요 타깃으로 삼았다.

이스트시큐리티에 따르면 금성121 조직은 주로 한국 외교·안보·통일·국방 분야나 대북단체, 탈북민 등을 상대로 첩보활동을 펼친다. 2014년 한국수력원자력 공격 배후로 지목되는 위협그룹 '김수키'와 활동반경이 유사하다. 이스트시큐리티는 두 조직이 공격 목적·대상을 공유하거나, 동일 조직일 가능성을 제기한다. 

안랩도 이달 초 '김수키의 귀환'을 주제로 보고서를 발표했다. 안랩시큐리티대응센터(ASEC)는 국내 기업·기관을 지속 노려온 이 조직 움직임에 최근 변화가 있는 것으로 분석했다. 주로 정치적 목적 해킹과 정보 수집에 주력했던 과거와 달리, 국내 일반 기업과 암호화폐 분야까지 공격영역을 확대한 정황이 포착됐다. 대북제재로 북한 경제상황이 악화됨에 따라 이 조직도 금전적 수익을 위한 공격에 나선 것으로 풀이된다. 

안랩은 김수키 조직이 암호화된 파일로 보안 솔루션 탐지를 피하고, 자가 삭제와 가변적 파일명 사용 등 다양한 기법으로 추적을 따돌린다고 지적했다. 이스트시큐리티가 이번에 발견한 금성121 조직의 공격 또한 암호화된 압축파일로 탐지 회피를 꾀했다. 이력서로 위장한 한글(hwp)문서파일 내 일부 문구에 하이퍼링크를 걸어, 사용자가 링크를 클릭하면 압축파일에 함께 첨부된 악성파일이 실행되도록 구현했다. 이 악성파일은 화면보호기 파일로 위장했다.

이러한 표적형 APT 악성코드는 감염된 PC에서 각종 시스템 정보 등을 수집해 명령제어(C2) 서버로 은밀히 탈취해간다. 공격자 명령이나 의도에 따라 원격제어 등 예기치 못한 피해로도 이어질 수도 있다. 

문종현 ESRC 센터장은 “김수키 조직은 한글 프로그램 자체 취약점을 주로 악용하고, 2014년 한수원 공격 때 사용한 쉘코드를 꾸준히 쓴다. 반면 금성121 조직은 한글문서 OLE기능 관련 취약점이나 이번처럼 하이퍼링크 방식을 쓰는 등, 공격패턴에서는 차이를 보인다”면서도 “두 조직이 동일한 데이터를 쓰는 경우가 목격됐고, 공격을 받는 사람이나 조직이 겹친다는 점에서 의심이 가는 상황”이라고 말했다. 

이어 문 센터장은 “특정 정부 지원 조직들의 사이버공격이 갈수록 거세지고 있다”며 “최근 움직임을 살펴보면 대북 관련 단체에 대한 사이버 첩보전 양상이 증대됐고, 암호화폐 코인관련 개인정보 수집에도 집중하는 모습을 보인다”고 덧붙였다. 

팽동현기자 paing@etnews.com 


목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1441
584 AWS, 올해 금융 클라우드 시장 확대 노린다 [전자신문 Etnews 4.. 관리자 2019-04-18 2
583 클라우드 제2장 위해 보안은 필수 [전자신문 Etnews 4월 15일자.. 관리자 2019-04-15 10
582 국방부, 군 인사 ERP 교체 시동…공공도 탈오라클? [전자신문 Et.. 관리자 2019-04-15 12
581 글로벌 기업 10곳 가운데 7곳, 사이버 공격에 '무방비'.. 관리자 2019-04-12 28
580 KISA, 국내 5개 대학 정보보호 학과에 'AI 보안기술' .. 관리자 2019-04-12 32
579 이스트시큐리티, 1분기 차단 랜섬웨어 '32만 506건'.... 관리자 2019-04-10 34
578 이대호 F1시큐리티 대표 "동남아 지역 '보안 한류' 주.. 관리자 2019-04-05 54
577 금융보안원, 180개 금융사 대상 '침해사고 대응훈련' .. 관리자 2019-04-05 47
576 암호화폐거래소 노린 사이버 공격 재점화 [전자신문 Etnews 4월 .. 관리자 2019-04-05 55
575 외교·안보 자료 위장 '스피어피싱' 주의 [전자신문 .. 관리자 2019-04-04 54
574 쿤텍, 공격자 속이는 보안 솔루션 '디셉션그리드' 출.. 관리자 2019-04-03 55
573 스마트공장 수준확인제도에도 '보안'은 뒷전 [전자신.. 관리자 2019-04-03 51
572 '파일암호화부터 개인정보 유출'까지...진화한 랜섬웨.. 관리자 2019-04-02 50
571 한국IT직업전문학교, '제1회 정보보안 윤리의식 선포식.. 관리자 2019-04-02 55
570 자고 일어나면 '해킹'사건..."아무것도 믿지 마라" [.. 관리자 2019-04-02 52
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265