 |
금성121이 국내 한 웹사이트에 유포한 악성 한글 문서. ESRC 제공 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
북한발 사이버공격이 끊이지 않는다. 이번에는 교원 모집 공문을 사칭했다. 북한 사이버위협에 대한 민관 협력과 대응이 절실하다.
이스트시큐리티 시큐리티대응센터(ESRC)는 해킹조직 '금성121'이 새로운 지능형지속위협(APT) 공격을 수행한다고 경고했다. APT는 공격 대상이 알아차리기 어렵도록 오랜 기간 정교하게 침투하는 전술이다.
이번에 포착된 공격에는 '워터링 홀' 수법이 쓰였다. 워터링 홀은 사자가 먹잇감을 습격하기 위해 물 웅덩이 주변에서 매복하는 것을 빗댄 용어다. 공격 대상이 주로 방문할 만한 웹사이트를 감염시킨 후 기다리는 수법이다.
'금성121'은 국내 특정 웹사이트 안내 게시판에 '2020학년도 모집공고역사'라는 제목으로 악성 한글 문서를 올렸다. 고등학교 역사 교육을 담당할 기간제 교원을 모집하는 내용이다.
이 문서를 실행하는 이용자는 감염 위험에 노출된다. 이용자 정보를 해외 클라우드 서버로 은밀하게 전송한다. 또 추가 악성 파일을 내려받아 원격제어 공격 등으로 이어질 위험도 있다.
이번 공격에서 '금성121'은 웹 브라우저 취약점을 악용하거나 악성 스크립트를 삽입하지 않았다. ESRC 측은 '금성121'이 웹 서버에 침투해 정상 문서를 악성으로 바꾼 것인지, 관리자를 해킹해 악성코드를 삽입한 것인지 등은 추가 조사가 필요하다고 설명했다.
ESRC는 지난 수개월 간 국내에서 운영되는 북한 관련 웹사이트 다수에서 이 같은 공격을 다수 발견했다. 분석 결과 위협 배후는 모두 '금성121'으로 지목됐다. 악성 문서는 '금성121' 의도에 따라 다양한 형태로 배포됐다. 악성 문서 등록 경위 등 정확한 침해사고 원인 파악이 되지 않으면 계속 위협에 노출될 가능성이 있다.
'금성121'은 북한 정부가 지원하는 해킹조직으로 추정된다. 첩보 수집이 주 목적이다. 지난달 국회 사무처를 사칭해 APT 공격을 펼쳤다. 지난해에는 외교·통일·국방 관련 자유한국당 의원실을 공격하기도 했다.
문종현 ESRC 센터장은 “'금성121'은 '라자루스', '김수키', '코니'와 함께 한국에 지속적인 사이버 안보 위협을 가하고 있다”면서 “과감하고 노골적인 해킹 작전을 수행, 위협도 갈수록 고도화하는 실정”이라고 우려했다. 이어 “APT 공격에 대한 체계적인 분석과 연구 노력이 절실하다”면서 “위협 인텔리전스 기반 민관 대응과 협력이 필요하다”고 촉구했다.
'라자루스', '김수키', '코니' 역시 북한이 배후로 지목되는 해킹조직이다.
오다인기자 ohdain@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
