[뉴스토마토 홍연 기자] 남북 외교안보 학술회의 토론 주제와 발제문 요청처럼 위장한 북한 연계 해킹 공격이 발견됐다.

 

이스트시큐리티는 2일 자사보안위협 분석 전문 조직인 시큐리티 대응센터(ESRC)가 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달한 정황을 포착했다고 밝혔다. 얼핏 보기에 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 ‘바로가기(LNK)’ 유형의 악성 파일이었다. 

 

예를 들어 '중요 자료.PDF.LNK' 파일이 있다면, '바로가기(LNK)/ 확장자 부분은 윈도우 운영체제에서 보이지 않기 때문에, 실제로는 '중요 자료.PDF' 파일처럼 보이는 원리를 악용한 것이다. 해당 '바로가기(LNK)' 파일의 속성을 살펴보면, 마치 PDF문서처럼 보이지만, 실제로는 실행 대상 명령어에 'mshta.exe' 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 은밀히 통신을 시도하는 명령이 포함돼 있다.

 

이번 공격은 국내 외교·안보·통일 분야 종사자를 겨냥한 것으로 학술회의나 연말 행사 참석 대상자를 대상으로 일정 문의나 자료 요청처럼 현혹해 이메일로 접근한 것으로 드러났다. 회신 등 관심을 보인 인물에게 선별 접근하는 이른바 투-트랙 스피어 피싱(Spear Phishing) 공격을 수행한 것으로 밝혀졌다.

 

초기에 공격자는 일반 문의처럼 평소 흔하게 접할 수 있는 내용을 담아 메일을 보내는데, 이때 별도의 첨부파일이나 URL링크를 의도적으로 넣지 않았다. 보통 해킹 모의훈련 참여 경험이 있거나 침해사고 예방 교육을 받은 사람은 이메일 내 첨부파일이나 URL 존재 여부를 통해 악성 가능 여부를 의심하는 경우가 있으나, 이처럼 별첨 내용이 없으면 별다른 의심 없이 쉽게 믿고 열어보는 경우가 생길 수 있다.

 

이스트시큐리티는 이처럼 외형상PDF 문서 파일을 메일로 수신할 경우, 2중 확장명 여부 등을 꼼꼼히 살펴보는 적극적 노력이 필요하다고 강조했다. 공격자가 LNK 악성파일을 이메일에 첨부할 때 확장명이 보이지 않도록 하기 위해 보통 ZIP이나 RAR 등으로 압축하므로, 압축을 무심코 풀어서 실행하면 안 된다는 것이다. 압축 파일 내부 목록을 먼저 살펴보고 접근하면 유사한 위협 예방에 도움이 된다.

 

문종현 이스트시큐리티 ESRC센터장 이사는 "우리나라는 북한 배후 및 소행으로 지목된 사이버 안보 위협이 일상화된 지 오래됐고, 정치 사회적 이슈나 혼란을 틈타 공격을 감행하는 것을 명심해야 한다"면서, "연말연시의 들뜬 분위기를 노린 경우와 송년회, 학술대회 등을 사칭한 공격에 각별한 주의가 필요하다"며 보안 주의를 당부했다.

 

 

홍연 기자 hongyeon1224@etomato.com