[아이뉴스24 최은정 기자] 국내 대북분야 등 종사자를 대상으로 통일부 사이버 안전조치 안내로 위장한 악성 메일이 발송됐다.
이스트시큐리티(대표 정상원)는 통일부 직원의 업무 메일을 사칭한 지능형지속위협(APT)을 탐지했다며 13일 사용자 주의를 당부했다.
이번 악성 메일은 통일부 정착지원과의 사무관 A가 발송한 것처럼 위장하고 있다. 메일에는 '최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다'는 본문 내용과 함께 '210811_업무연락(사이버안전).doc' 이름의 악성 문서파일이 첨부돼 있다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번 공격은 국내 대북분야 종사자를 특정 공격했다. 또 지난 5월 북한 연계 해킹조직 탈륨이 수행한 작전명 '사이버 스톰' 공격과 동일한 계열의 코드 등이 사용된 것으로 나타났다. 이같은 이유로 ESRC는 공격 배후에 탈륨이 있을 것으로 봤다.
이번 악성 문서파일에는 악성 매크로 코드가 숨겨져 있으며, 추가 악성행위를 수행하기 위해 국내 특정 고시학원 사이트 서버를 명령제어 서버(C2)로 악용한 것으로 분석했다.
문서 파일을 열면 '호환성 문제로 콘텐츠를 불러올 수 없으며, 정상적인 문서 확인을 위해서 [콘텐츠 사용] 버튼을 클릭하라'는 안내 화면이 나타난다. 만약 메일 수신자가 해당 버튼을 클릭하면 해커가 사전 설정한 악성 매크로가 동작해 해킹 명령이 작동하게 된다. 현재 회사 백신 프로그램 알약에서 이를 탐지하고 있다.
문종현 이스트시큐리티 ESRC 센터장(이사)은 "현재 북한 연계 해킹조직은 외교·안보·국방·통일과 대북 분야에서 활동하는 고위 유력인사를 집중 겨냥해 공격을 수행하고 있다"며 "메일에 첨부된 문서를 열어보기 전 이메일 발신자에 전화 등을 통해 실제 발송 여부를 확인하는 것이 중요하다"고 당부했다.
/최은정 기자(ejc@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기