[아이뉴스24 최은정 기자] 최근 유엔 안전보장이사회 산하 대북제재위원회 보고서에서 북한 추정 사이버 해킹 최대 피해국이 우리나라로 조사된 가운데 북한 추정 사이버 공격이 국내에서 또 다시 포착됐다.
16일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 지난 13일에 제작된 것으로 보이는 악성문서 ‘hwp 파일’이 보안 모니터링 과정에서 새롭게 발견됐다.
현재 해당 악성문서 파일은 계속 유포중으로 한글 프로그램 취약점을 이용해 사용자 PC를 감염시키는 ‘스피어 피싱’으로 주의가 요구된다.
국세청에서 보낸 것으로 위장한 악성파일 내용 [제공=ESRC]
ESRC 분석에 따르면 해커는 국세청에서 보낸 것으로 위장, ‘소명자료제출요구서’ 내용을 담은 이메일을 보낸다. 첨부파일을 열 경우 한글 최신 업데이트를 진행하지 않은 사용자는 취약점을 통해 악성코드에 감염된다.
해당 악성코드가 다운로드되면, 해커가 만들어 놓은 명령제어(C2) 서버로 통신, 해커가 숨겨놓은 또 다른 악성코드 감염이 시작 돼 이때부터 감염 PC 정보가 해커가 지정한 서버로 전송되는 식이다.
문종현 ESRC 센터장은 “악성파일 내용으로 보아 거래소나 암호화폐 관계자를 대상으로 공격이 이뤄졌을 가능성이 크다”며 “북한 추정 그룹인 라자루스 소행으로 보인다”고 추정했다.
이어 “현재 해당 악성파일이 유포중으로 C2서버가 살아있는 상태”라고 덧붙였다.
문서 내용 상 지난 6~7월에 발견된 무비코인(MOVIE COIN) 오퍼레이션과 코드가 동일한 것. 이는 국내 특정 암호화폐 거래소 회원을 대상으로 유포됐던 악성파일과 같은 것으로 분석됐다.
라자루스는 최근까지 국내 암호화폐 거래소를 지속 공격해온 것으로 추정된다.
문 센터장은 “지난 3개월 동안 공식적으로 발견된 라자루스 추정 공격은 이번건을 포함 8회에 달한다”고 설명했다.
/최은정 기자 ejc@inews24.com
http://m.inews24.com/v/1202201