[아이뉴스24 성지은 기자] 국내 특정 방위산업체의 망분리 요청사항 문서로 위장한 악성 파일이 발견됐다. 관련 분야 종사자나 기업을 대상으로 한 표적 공격일 가능성이 높아 주의가 필요하다.
6일 이스트소프트의 보안 자회사 이스트시큐리티(대표 정상원)는 한국 방산업체 망분리 관련 요청사항 문서를 사칭한 지능형지속위협(APT) 공격이 발견됐다고 밝혔다.
이번 공격에 사용된 악성 문서 파일은 한국시간 기준으로 지난 4일 오후 9시 50분경 제작돼 다음날인 5일 최초로 발견됐다.
공격자는 이메일을 통해 악성 한글(HWP) 문서를 보냈다. HWP 파일 취약점을 악용해 악성코드를 감염시키는 공격이다. 감염될 경우 해커가 원격에서 사용자PC를 제어하고 정보를 탈취할 수 있다.
이 악성코드는 기존에 정부의 지원을 받는 것으로 추정되는 APT 공격 코드와 유사하며, 국내 특정 웹서버 5개를 해킹해 명령제어(C2) 서버로 사용했다는 게 회사 측 설명이다.
다만 공격에 사용된 취약점은 보안 패치가 나오지 않은 신규 취약점(제로데이)은 아니어서 문서 작성 프로그램을 최신 버전으로 유지하고 있다면 위협에 노출되지는 않는다.
문종현 이스트시큐리티 시큐리티대응센터 이사는 "최근 한국 맞춤형 스피어 피싱(특정 개인이나 단체를 대상으로 한 공격) 정황이 지속적으로 포착되고 있다"며 "정부기관 문서 사칭뿐만 아니라 방위산업 관련 문서 내용까지 악용되는 만큼 보다 세심한 관심과 주의가 필요하다"고 당부했다.
또 "이번 공격은 기존에 정부가 배후에 있는 것으로 알려진 국가기반 위협그룹의 공격 기법과 유사도가 높다"며 "민관이 협력해 위협 보안강화에 힘써야 할 시기"라고 강조했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기