"北 추청 해킹단체 '금성121', 교원 모집 공고문 위장해 공격"
등록 2020.06.05 17:05:09
역사과목 담당할 기간제교원 모집 공고문으로 위장
파일 실행시 정보 유출 및 원격제어 피해 등 우려
이스트시큐리티 ESRC(시큐리티대응센터)에 따르면 북한 정권과 연관성 있는 금성121(Geumseong121) 조직이 새로운 방식을 도입해 지능형지속위협(APT)공격을 수행하고 있어 각별한 주의가 요구된다.
최근에 관찰된 악성 문서파일은 '2020학년도 모집공고역사.hwp' 파일명으로, 역사과목을 담당할 기간제교원을 모집하는 내용을 담고 있다. 해당 문서파일이 실행되면 취약점에 따라 악의적인 명령이 수행된다.
이번 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중인데, 기존에 많이 알려지지 않은 공격 벡터를 쓰는 것으로 분석된다.
현재 금성121이 활용 중인 웹 기반 공격 전략은 웹 브라우저 취약점을 쓰거나 악성 스크립트를 사이트에 삽입하는 것이 아니라, 웹 사이트 안내 게시판에 악성 hwp 문서파일이 등록되도록 만드는 것이다.
ESRC 관계자는 "지난 수개월 간 국내에서 운영 중인 다수의 북한관련 웹 사이트가 이처럼 변칙적인 방식의 워터링 홀 공격에 노출된 것을 식별했고, 위협 배후 분석결과 모두 '금성121' 그룹으로 분류된다"고 밝혔다.
이어 "악성 hwp 문서파일은 해커 의도에 따라 여러가지 형태가 배포되고 있으며, 무슨 취약점과 어떤 과정으로 악성 파일이 등록됐는지 정확한 침해사고 원인파악이 되지 않을 경우 지속적 위협에 노출될 가능성도 배제하기 어렵다"고 말했다.
악성파일은 해외클라우드 서버로 탈취된 이용자 정보를 유출시킬 우려가 있다. 또 예기지 못한 원격제어 피해 등으로 이어질 수 있다.
ESRC 관계자는 "금성121 조직은 정부차원의 후원을 받으면서 과감하고 노골적인 해킹 작전을 수행 중이고, 갈수록 위협이 정교화·고도화되는 실정"이라며 "APT 공격에 대한 보다 체계적인 분석과 연구노력이 절실하며, 위협 인텔리전스 기반의 민관대응과 협력이 절실히 요구된다"고 강조했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
