보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 ‘2019년 북한 신년사 평가 내용’이라는 제목의 파일에서 지능형지속위협(APT) 유형의 악성코드가 발견됐다며 각별한 주의가 필요하다고 4일 밝혔다.
ESRC는 지난 2일 오전 정부 기관의 공식 문건으로 포장해 제작된 최신 악성코드로 보고 있다.
ESRC에 따르면 매년 반복적으로 북한의 신년사 내용을 미끼 삼아 한국의 특정인을 노린 표적 공격이 이어지고 있다. 지난 2017년과 2018년에도 비슷한 APT 공격이 발견된 바 있다.
그동안 공격자는 이메일 첨부파일을 활용한 스피어 피싱 공격을 활용해 왔다. 주로 HWP 문서 파일의 보안 취약점을 악용했다. 그러나 이번에 발견된 것은 악성코드는 정상적인 HWP 문서 파일로 아이콘을 위장했지만 실제로는 EXE 실행 파일 형태로 제작됐다.
ESRC는 해당 공격 코드를 분석한 결과 지난해 11월 공개한 ‘작전명 블랙 리무진' 공격을 수행한 조직과 동일한 조직에서 공격한 것으로 확인했다. 이들은 이번 APT 공격을 ‘작전명 엔케이 뉴이어'로 명명했다.
일단 악성코드에 감염되면 공격자는 미리 설정해 둔 명령 제어(C2) 서버와 통신을 수행하도록 한다. 이렇게 되면 공격자는 악성코드에 감염된 PC를 원격 제어할 수 있고 키보드 입력 내용을 수집하는 키로깅을 통해 개인정보를 빼낼 수 있다.
ESRC 센터장 문종현 이사는 “새해 연초부터 특정 정부 기반이 배후에 있는 것으로 알려진 해킹 조직이 한국을 상대로 은밀한 APT 공격을 수행하고 있다”며 “최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우 메일을 열어보기 전 신뢰할만한 발신자가 보낸 메일인지 세심히 살펴볼 필요가 있다”고 주의를 당부했다.
서윤경 기자 y27k@kmib.co.kr