앵커 : 제2차 미북 정상회담이 27일부터 열리고 있는 가운데, 이 회담과 관련된 자료를 미끼로 한 사이버 공격이 포착됐습니다. 이경하 기자가 보도합니다.
한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 27일 ‘북미정상회담’이라는 제목의 압축 파일을 통한 지능형지속위협(APT) 공격이 발생하고 있다고 밝혔습니다.
이번 사이버 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 27일부터 베트남(윁남) 하노이에서 개최한 정상회담과 관련한 제목을 사용한 압축파일과 한글문서 파일을 미끼로 사용했다는 점에서 눈길을 끌고 있습니다.
이 업체에 따르면 이번 공격에 사용된 ‘북미2차정상회담.rar’라는 압축파일에는 ‘북미2차정상회담.hwp’ 한글 문서파일이 담겨 있습니다. (윗사진)
이 압축파일은 세계협정시(UTC) 기준 2월26일 11시28분에 제작됐으며, 한글파일은 2월26일 오전 3시28분께 생성됐습니다.
이 한글 문서 파일에는 암호설정 기능이 활성화 돼 있으며, 미북 정상회담 관련 내용과 지난해 판문점 선언 내용이 포함돼 있습니다.
그러면서 이 업체는 “특이하게도 베트남 회담 관련 부분과 판문점 선언 부분이 다른 글씨체로 쓰여져 있어 일부 내용을 임의 수정한 것으로 추정된다”고 설명했습니다.
이 업체는 이번 사이버 공격이 전자우편에 악성파일을 첨부해 공격 대상에 은밀히 전달하는 이른바 ‘스피어피싱’(Spear Phishing) 수법이 사용된 것으로 추정하고 있습니다.
스피어피싱 방식은 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.
파일을 여는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 정보를 원격지로 전송하기 때문에, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성행위에 노출될 수 있습니다.
특히 이 업체는 이번 사이버 공격에서 악성 파일들이 암호화 및 압축을 통해 보안 탐지를 회피하고 있으며, 감염된 컴퓨터는 재시작할 시 악성파일이 자동으로 시작된다고 밝혔습니다.
이후 악성 파일들이 실행되면 러시아 IP 주소로 통신을 시도하며 공격자의 추가 명령을 대기하고 있다고 지적했습니다. 그러면서 이 업체는 이번 사이버 공격이 압축파일 형태(format)의 일종인 ACE 형태의 취약점을 이용한 공격이라고 설명했습니다.
실제 이 위장 압축 파일은 RAR 형태로 유포되고 있지만, 실제로는 ACE 형태를 갖고 있으며, ‘파이썬’(python) 기반 악성파일이 포함돼 있습니다. ‘파이썬’은 컴퓨터 언어의 일종으로 간결하고 생산성 높은 프로그래밍 언어 중 하나입니다.
하지만 이 업체는 이번 사이버 공격의 주체가 북한 소행인지 여부는 공개하지 않은 상태입니다.