‘북 신년사 분석’ 열면 '악성코드’ 감염…올해 첫 사이버 공격

워싱턴-이경하 rheek@rfa.org
2019-01-03
이메일
댓글
Share
인쇄
최근 한국 통일부를 사칭해 악성코드가 담긴 한글파일로 위장한  ‘2019년 북한 신년사 평가’를 실행한 화면.
최근 한국 통일부를 사칭해 악성코드가 담긴 한글파일로 위장한 ‘2019년 북한 신년사 평가’를 실행한 화면.
사진제공: 이스트시큐리티(ESTSecurity)

올해 처음으로 북한 소행으로 추정되는 사이버 공격이 확인됐습니다.

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 3일 자유아시아방송(RFA)에 “한국 통일부를 사칭해 ‘2019 북한 신년사 평가’란 한글문서에 지능형지속위협(APT) 유형의 악성코드를 담아 유포하는 북한 소행으로 추정되는 사이버 공격을 확인했다”고 3일 밝혔습니다.

lazarus_sub.jpg

이 업체에 따르면 김정은 북한 국무위원장의 신년사를 평가하는 내용이 담긴 ‘2019 신년사 평가’ 제목의 한글파일로 위장한 악성코드가 발견됐습니다. 북한 신년사에 대한 관심이 높은 사회적 분위기를 이용한 것입니다.

이번 사이버 공격은 공식적으로 올해 처음으로 발견된 북한 소행으로 추정되는 공격이라고 이 업체는 주장했습니다. 실제 해당 악성코드는 올해 1월2일 오전에 제작된 것으로 분석됐습니다.

북한 신년사 악성코드는 특정 표적에게만 보낸 스피어 피싱(Spear Phishing) 공격으로, 이메일을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식입니다.

해당 문서를 열면 실제로 북한 신년사를 분석한 내용이 나옵니다.  △2018년 평가와 2019년 분야별 과업 제시 △김정은 위원장이 과거와 달리 소파에 앉아 원고를 들고 양복차림으로 발표 등의 분석이 담겨있습니다.

평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

아울러 문서를 여는 순간 악성코드에 감염되고 컴퓨터 내부에 있는 각종 파일과 정보를 원격지로 전송함에 따라, 한 번 감염된 후에는 공격자 마음대로 컴퓨터를 제어하는 등 다양한 악성행위를 할 수 있습니다.

한편, 북한 신년사 분석을 가장한 악성코드는 지난해와 2017년에도 발견된 바 있습니다.

하지만 이스트시큐리티는 지난해와 재작년 공격에는 한글 문서 파일(HWP)의 보안 취약점만이 활용된 반면, 올해는 실행 파일(EXE) 형태로 제작돼 마치 정상적인 파일처럼 위장하고 있다며 더 각별한 주의를 당부했습니다.

이 업체의 문종현 이사는 3일 자유아시아방송(RFA)에 “2019년 새해 연초부터 북한으로 추정되는 사이버 공격이 지속되고 있다”고 밝혔습니다.

그러면서 문 이사는 “북한 추정 조직이 한국을 상대로 은밀한 APT 공격을 지속적으로 수행하고 있어, 이메일을 수신할 경우 발신자를 세심히 살펴볼 필요가 있다”고 강조했습니다.

실제 이번 공격은 대북단체 및 통일, 안보, 외교 등의 유관기간을 노린 것으로 추정되고 있습니다.

원본 사이트 보기