대북 관련 기업 겨냥한 스피어피싱 공격 주의

스피어피싱 악성메일 화면
<스피어피싱 악성메일 화면>

대북 관련 기업을 겨냥해 음성파일을 미끼로 한 스피어피싱 공격이 발생하고 있어 주의가 요구된다.

이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)에 따르면 최근 대북 관련분야에서 활동하는 기업을 대상으로 정부 지원 해킹조직이 지능형지속위협(APT) 공격을 수행하는 것으로 확인됐다. ESRC는 일련의 공격을 '블랙햇 보이스 작전(Operation Blackhat Voice)'이라 명명했다.

공격자는 최근 '검토 요청'이라는 제목의 악성메일을 유포했다. 메일 본문에 '회의 자료 보내드리니 검토해주시기 바랍니다. 파일비번: china0305'라는 문구를 기재, 첨부파일인 '회의 자료 Protected.zip'를 열어보도록 유도했다. 이 압축파일에는 음원파일(MP3)로 위장한 악성코드 실행파일(exe)이 담겼다.

ESRC는 약 1주일 간격으로 동일한 공격이 수행된 정황을 발견했다. 공격자는 지난달 말에도 '중국 지인 자료'라는 제목으로 악성메일을 유포했다. 메일 본문에 열람을 유도하는 문구를 쓰고 유사한 압축파일 비밀번호를 안내했다. 음원파일(3gp)로 위장한 악성코드 실행파일을 압축해 메일에 첨부한 점도 같다. 파일명은 다르지만 내부 포함된 파일은 동일하다.

음원파일로 가장한 악성 실행파일을 실행하면, 파일 내 포함된 실제 음원 리소스로 중국어 대화를 재생한다. 내부에 숨어있던 악성코드가 사용자 시스템 폴더 경로에 침투한다. 피해자 PC와 공격자 명령제어(C2) 서버 간 통신이 시작되면 추가로 악성파일을 몰래 내려 받는다. 악성파일은 감염된 PC에서 웹브라우저 계정정보 등 다양한 정보를 수집해 유출을 시도한다.

ESRC는 이번 공격이 평창올림픽 개막 다음날 APT 공격을 시도했던 해킹조직 소행으로 추정한다. 이 공격자는 지난해 9월에도 이번 공격과 유사한 수법을 썼다.

ESRC 측은 “한국 포털사가 제공하는 무료 이메일 서비스 계정 탈취를 시도하는 피싱 공격도 함께 수행한 게 여러 차례 발견됐다”며 “수년 간 끊임없이 한국 기업·기관 대상으로 사이버공격을 수행하고 있으므로 각별한 주의와 보안 강화가 요구된다”고 밝혔다.

팽동현기자 paing@etnews.com

위방향 화살표