보안 전문기업 이스트시큐리티의 시큐리티대응센터는 설 연휴를 앞두고 북한 배후로 의심되는 해킹 단체가 설 선물로 위장한 파일명 ‘홍삼6품단가.xlsx’로 위장한 사이버 공격에 나섰다며 사용자들의 주의를 요구했다. SNS캡처.

[헤럴드경제=모바일섹션] 설 연휴를 앞두고 북한 배후로 의심되는 해킹 단체가 설 선물로 위장한 파일명 ‘홍삼6품단가.xlsx’로 위장한 사이버 공격에 나서 주의가 요구된다. 출처가 불분명한 발신자 메일의 경우 열어보지 말고 삭제 조치하는 것이 안전하다.

23일 보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC) 블로그에 따르면 설 선물 내용으로 위장한 지능형 지속 위협(APT) 공격이 최근 발견됐다.

이번 공격에 이용된 악성파일 ‘홍삼6품단가.xlsx’파일은 사회공학적 기법을 결합한 스피어피싱(Spear Phishing:특정한 개인들이나 회사를 대상으로 한 피싱) 공격에 활용됐을 것으로 추정된다.

이번 공격은 종전처럼 한글(HWP) 문서파일 대신 마이크로소프트(MS) 오피스 엑셀 문서파일의 취약점을 악용했다.

ESRC는 악성파일에서 발견된 특정 계정이 지난해 8월께 발견된 ‘작전명 로켓맨(Operation Rocket Man)’ 공격을 수행한 동일 해킹그룹 ‘금성121’의 소행으로 확신했다.

금성121은 스카크러프트(카스퍼스키랩), 레드 아이즈(안랩), APT37(파이어아이), 그룹123(탈로스) 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다.

2017년 또 다른 IP 주소를 거점으로 대북 관련 분야 관계자에게 HWP 취약점 공격을 수행한 것도 확인됐다.

ESRC는 분석 과정에서 컴퓨터를 망가뜨리는 와이퍼(wiper) 행위용 악성코드 다운로드가 추가로 확인됐다며 이번 APT 공격을 ‘작전명 로켓맨’으로 명명했다고 설명했다.

ESRC는 유사한 APT 위협 사례가 이어질 것으로 보고, 모니터링을 강화하고 한국인터넷진흥원(KISA)과도 긴밀하게 협조하고 있다고 전했다.

문종현 ESRC 이사는 “최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우 발신자 신뢰 여부를 세심히 살펴볼 필요가 있다”고 당부했다.

onlinenews@heraldcorp.com