한국의 탈북 및 대북, 국방 분야 단체들을 대상으로 가짜 이력서를 보내는 북한 추정 사이버 공격활동이 포착됐습니다.
한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 20일 “마치 이력서 원본을 보내는 것처럼 위장한 ‘지능형지속위협’(APT) 공격이 18일 식별됐다”고 밝혔습니다.
이어 이 업체는 “주로 한국의 대북관련 분야에 활동하는 인사들에게 집중적으로 공격이 진행된 정황을 포착했다”고 덧붙였습니다.
그러면서 이번 공격이 이른바 ‘금성121’의 공격 수법과 유사하다고 지적했습니다. 한국 내 보안업계에서는 ‘금성121’의 배후에 북한 정부가 있는 것으로 분석하고 있습니다.
또 이스트시큐리티는 이번 사이버 공격에 원본 메일이 전달(forward)된 것으로 위장하는 방법이 쓰였다며 주의를 당부했습니다.
이 업체에 따르면 압축파일인 ‘이력서.rar’에 한글파일인 ‘조형곤이력서2019.hwp’와 ‘desktop.scr’이라는 두 개의 파일이 포함돼 있습니다.
이 업체는 이메일에 이 악성 한글문서 파일을 첨부해 공격 대상에 은밀히 전달하는 이른바 스피어피싱(Spear Phishing) 수법이 사용된 것으로 보고 있습니다.
실제 이력서 내용처럼 위장한 악성 문서를 전송해 호기심을 유발하고, 공격 대상자로 하여금 문서내용을 열람하도록 유인하게 됩니다.
스피어피싱 방식은 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
아울러 문서를 여는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 파일과 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성행위에 노출될 수 있습니다.
한편, 북한이 배후에 있는 것으로 알려진 ‘금성121’은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 한국 내 대북 단체와 국방 분야 관계자들을 공격해왔습니다.