외교안보학술대회 겨냥한 북한발 해킹시도…뭘 노렸나
등록 2022.08.31 15:09:09수정 2022.08.31 15:36:42
한국유엔체제학회 참가자 프로필 요청하는 메일로 위장해 피싱공격 시도
기존 북한발 해킹과 코드 기법, 공격 경로 등 매우 흡사
보안전문가 “유사한 위협들이 잇따라 포착돼 각별한 주의가 필요”
정보보안업계에 따르면 ‘2022년 한국유엔체제학회(KACUNS) 하계학술대회’에 참여한 특정인을 상대로 한 북한발 해킹 공격시도가 탐지됐다. 사진은 참가자 약력 요청 메일로 위장한 피싱 메일의 일부. (사진=보안업계 제공) *재판매 및 DB 금지
[서울=뉴시스]송종호 기자 = 한국유엔체제학회가 주관하는 국제학술대회 참가자들을 노린 해킹 공격이 시도됐던 것으로 확인됐다.
30일 보안 업계에 따르면 최근 진행된 ‘2022년 한국유엔체제학회(KACUNS) 하계학술대회’ 일부 참가 인사들을 겨냥한 정보 탈취 공격 징후가 포착됐다. 이 학술대회는 한국유엔체제학회, 외교부, 강원대학교가 공동 주최하고, 통일연구원과 국립외교원 외교안보연구소 국제법센터가 후원하는 행사다. 이 대회 주관사 중 한곳인 한국유엔체제학회의 이신화 학회장은 최근 윤석열 대통령이 북한인권국제협력대사로 임명한 인사다.
이번 공격은 이 학술대회에 참가한 유력 인사들의 정보를 노린 북한 관련 해커들의 소행으로 보안 전문가들은 추정하고 있다.
보안 업계에 따르면 실제 공격은 학술대회 준비가 한창이던 지난주에 진행됐다. 공격자는 학술대회 일부 참가자들에게 약력을 요청하는 메일을 보냈다. 그러나 이는 정보를 빼내기 위한 피싱 메일이었다.
공격자는 학술대회 참가 준비를 위해 필요한 '프로필 양식.hwp 문서'로 가장해 이메일에 첨부된 파일을 열어보도록 유도했다. 그러나 보안 전문가들의 분석 결과 해킹 목적으로 만들어진 악성 hwp 문서인 것으로 드러났다.
메일 수신자가 해당 파일은 내용을 기입하려고 시도하면 악성코드가 작동되도록 설계됐다. 악성코드가 작동하면 사용자 컴퓨터 내부 정부를 수집해 외부 유출을 시도하는 것으로 확인됐다.
특히 이번 공격에는 분석에 공격자 추적에 혼선을 주기 위해 수년 전 해킹에 사용했던 국내 서버 통신을 재활용하는 등의 치밀함도 보였다는 전언이다. 공격자는 2018년 플래시(Flash SWF) 플레이어의 취약점 파일도 재사용했다. 플래시는 이미 대부분 사용이 중단된 상태로 별다른 공격 효과를 보기 어렵다. 이 또한 공격자가 관련 해킹경로와 배후 추적에 혼선을 주기 위한 미끼로 보인다는 게 보안 전문가의 해석이다.
보안 전문가들은 해당 공격이 북한과 연계된 해커 소행으로 판단하고 있다. 해당 공격에 사용된 스피어싱 수법과 hwp 악성문서 내부 객체연결삽입(OLE) 파일에 연결되는 추가 스크립트 등이 기존 북한 해킹 조직이 사용했던 방식과 일치하기 때문이다. OLE는 외부 파일을 직접 한글 문서에 삽입하는 기능이다. 이를 통해 악성코드 실행을 유도할 수 있다. 또 이번 공격의 명령제어 서버에 사용하는 해외 호스트 주소가 북한 해커들이 수시로 사용 중인 무료 웹호스팅과도 동일한 것으로 확인됐다.
전문가들은 이번 학술대회 일부에서 북한 관련 논의가 이뤄진 점을 빌미로 공격을 시도한 것으로 보고 있다.
문종현 이스트시큐리티 시큐리티대응센터장은 “최근 북한발 사이버 위협들이 잇따라 포착돼 관계자들의 각별한 주의가 필요하다”며 "국내에 진행 중인 유명 행사를 겨냥한 공격에 프로필이나 사례비 양식, 개인정보 작성문서처럼 위장한 유형이 많아 열람 전에 실제 발신자가 맞는지 꼭 확인해야 한다”고 당부했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
