로그인이 필요합니다.

로그인정보입력
소셜 계정으로 로그인
닫기

로그인폼

커뮤니티COMMUNITY

커뮤니티 > 컴퓨터

'외교안보 학술회의' 사칭 北 연계 해킹 공격 주의

lsmin0420
LEVEL78
출석 : 205일
Exp. 4%
[등록된 소개글이 없습니다]

보안 전문 기업 이스트시큐리티는 남북 외교안보 학술회의 토론 주제와 발제문 요청처럼 위장한 북한 연계 해킹 공격이 등장했다며, 각별한 주의가 요구된다고 2일 밝혔다.

이번 공격은 국내 외교·안보·통일 분야 종사자를 겨냥한 것으로 보이며, 다가오는 학술회의나 연말 행사 참석 대상자로 하여금 일정 문의나 자료 요청처럼 현혹해 이메일로 접근한 것으로 드러났다. 이후 회신 등 관심을 보인 인물에게 선별 접근하는 이른바 투-트랙 스피어 피싱 공격을 수행한 것으로 밝혀졌다.

초기에 공격자는 일반 문의처럼 평소 흔하게 접할 수 있는 내용을 담아 메일을 보내는데, 이때 별도의 첨부파일이나 URL링크를 의도적으로 넣지 않았다.

보통 해킹 모의훈련 참여 경험이 있거나 침해사고 예방 교육을 받은 사람은 이메일 내 첨부파일이나 URL 존재 여부를 통해 악성 가능여부를 의심하는 경우가 있으나, 이처럼 별첨 내용이 없을 경우 별다른 의심없이 쉽게 믿고 열어보는 경우가 생길 수 있다.

공격자들은 이러한 보안 심리와 문제 의식을 교묘히 파고드는 전략을 구사한다. 처음 메일에 반응한 사람에게 정상 파일을 한번 더 보내 신뢰를 높이는 경우도 있지만, 주로 회신한 사람에게 악성 파일이나 URL을 보내 바로 해킹을 시도한다.

이스트시큐리티의 보안위협 분석 전문 조직인 시큐리티 대응센터(ESRC)는 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달한 정황을 포착했고, 얼핏 보기에 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 ‘바로가기(LNK)’ 유형의 악성 파일을 발견했다.

예를 들어 【중요 자료.PDF.LNK】 파일이 있다면, ‘바로가기(LNK)’ 확장자 부분은 윈도우 운영체제에서 보여지지 않기 때문에, 실제로는 【중요 자료.PDF】 파일처럼 보여지게 되는 원리를 악용한 것이다.

PDF문서처럼 위장된 2중 확장자의 LNK 악성파일 화면.

해당 ‘바로가기(LNK)’ 파일의 속성을 살펴보면, 마치 PDF문서처럼 보이지만, 실제로는 실행 대상 명령어에 ‘mshta.exe’ 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 은밀히 통신을 시도하는 명령이 포함돼 있다.

한편, 새로 식별된 거점 서버는 이미 국내 침해사고 사례에서 대표성을 가지며, 지속 포착 중인 ‘웹 프리 호스팅’ 도메인으로 생성됐고, 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나라는 점이 주목된다.

공격자가 구축한 본진 서버와 통신이 이뤄지면, 추가 스크립트 및 파워셸 명령에 따라 사용자 컴퓨터 환경과 내부 프로그램 정보 등을 조회 수집해 탈취를 시도한다. 이때 새로운 서버(cimoon.scienceontheweb[.]net)가 식별됐는데, ‘cimoon’ 키워드의 경우 국내 침해사고에서 종종 보고되며, 특정 인물의 아이디로 알려져 있다.

ESRC 분석결과 피해자가 해킹에 노출됐을 때, 공격자는 의심을 최소화하기 위해 명령 서버에 치밀한 준비를 해둔 것으로 드러났다. 피해자의 로컬 환경에 존재하는 악성 LNK 파일이 작동 후 개인 정보가 유출될 경우 해당 LNK 파일을 삭제하고, 정상 PDF 문서로 교체하는 명령까지 준비한 것으로 밝혀졌다.

특히, 서버에 여러 파일들이 존재했던 것으로 분석됐다. 다양한 형태의 공격을 준비한 정황이 확인됐고, 대용량 첨부파일 링크를 통해 정상 PDF 문서로 교체를 시도했지만, 시점에 따라 파일이 정상적으로 받아지지 않을 수도 있다.

악성 LNK 파일을 정상 PDF 파일로 교체하는 명령 화면.

이처럼 외형상PDF 문서 파일을 메일로 수신할 경우, 2중 확장명 여부 등을 꼼꼼히 살펴보는 적극적 노력이 필요하다.

공격자가 LNK 악성파일을 이메일에 첨부할 때 확장명이 보이지 않도록 하기 위해 보통 ZIP이나 RAR 등으로 압축하므로, 압축을 무심코 풀어서 실행하면 안된다. 즉 압축 파일 내부 목록을 먼저 살펴보고 접근하면 유사한 위협 예방에 도움이 된다.

이스트시큐리티 ESRC센터장 문종현 이사는 “우리나라는 북한 배후 및 소행으로 지목된 사이버 안보 위협이 일상화 된지 오래됐고, 정치 사회적 이슈나 혼란을 틈타 공격을 감행하는 것을 명심해야 한다”며 “연말연시의 들뜬 분위기를 노린 경우와 송년회, 학술대회 등을 사칭한 공격에 각별한 주의가 필요하다”며 철저한 보안 주의를 당부했다.

이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하였으며, 현재 한국인터넷진흥원(KISA) 등 관련 부처와 유사 피해 확산 방지를 위해 면밀히 협력하고 있다. 

해당 게시물에 음란물(아동 포함), 도박,광고가 있거나 바이러스, 사기파일이 첨부된 경우에 하단의 신고를 클릭해주세요.
단, 정상적인 게시물을 신고할 시 사이트 이용에 불이익을 받으실 수 있습니다.

댓글 0
닉네임
14-03-02
답글 0
추천공감 0
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
댓글입력 ┗답글
┗답글닉네임
14-03-02
감추기
보이기
삭제
신고
댓글을 불러오는데 오류가 발생하였습니다.
해당 게시물에 댓글이 없습니다. 댓글을 달아주세요~!
댓글입력
소셜 계정으로 로그인
게시판 목록
번호 제목 작성자 등록일 점수 조회
[강좌] 화질 안좋은 영상 화질 업하는법 KMP사용 [11]조선나이키03-176213199
[강좌]DAEMON Toolsː설치와 사용방법! [8]GamKo08-2413713142
“컴퓨터 교체하고 하드디스크 훼손” 쌍방울 임직원들의 조직적 증거인멸또융23:5509
한글과컴퓨터, SDK 사업 확대 위해 원오원과 맞손또융23:5509
부산 해운대 세가사미 부지 양자컴퓨터 허브 빌딩 추진또융23:5409
美 국무부 사이버·디지털 대사 트위터 해킹 당해lsmin042002-07044
양자컴퓨터용 반도체 소자 개발lsmin042002-07045
마이크로소프트, 美 국방부 양자컴퓨터 구축lsmin042002-07043
관리사무소 컴퓨터 부품 가지고 나간 소장 ‘절도죄·업무방해’또융02-06067
“직원이 회사 컴퓨터에 프로그램 불법 다운로드했다면 회사는 무죄”또융02-06063
EPL 슈퍼컴퓨터의 예측, "맨시티 우승 확률, 아스널보다 높아"또융02-06064
초저전력 반도체, 극저온 동작…'양자컴퓨터용' 소자 나왔다또융02-010125
올해 휴대폰 PC 출하량 감소 전망, 가트너 "4분기까지 경기 회복 없다"또융02-01078
한글과컴퓨터, 영림원소프트랩 ERP 구축으로 업무 효율성 ↑또융02-010142
[아재이슈]컴퓨터가 투자해주는 '퀀트'… 수익률 14%인데 한국선 왜 인기 없나lsmin042001-31057
[국가AI데이터센터] 국내 최대 규모 슈퍼컴퓨터 연산 저장능력 세계 10위권lsmin042001-31055
콩가텍, 13세대 인텔 코어 프로세서 기반 COM-HPC 컴퓨터 온 모듈 출시lsmin042001-31056
PC, 스마트폰 시장 푹 꺼졌다…더딘 회복에 비틀거리는 강자들또융01-30051
이텍컴퓨터, 13세대 CPU 장착한 HP 신모델 '27인치 QHD일체형PC' 출시또융01-30051
슈퍼컴이 60시간 걸린 문제, 200초만에 풀었다또융01-30051
광주 동구, “컴퓨터·스마트폰·동영상 편집 배우세요!”tmddnjs532101-29048
산업용 딥러닝 컴퓨터비전 솔루션 아이브(AiV), 100억 시리즈B 유치tmddnjs532101-29046
콩가텍, 13세대 인텔 코어 프로세서 기반 COM-HPC 컴퓨터 온 모듈 출시tmddnjs532101-29041
中 해킹그룹 사이버공격…“우리말학회 등 12개 학술기관 해킹”lsmin042001-250158
문체부, 中해커 연쇄해킹에 소속기관 철저 대응 당부lsmin042001-250110
“1000큐비트 양자컴퓨터 나온다” 불붙은 양자암호 경쟁lsmin042001-250160
디도스 공격에 PC방 먹통 “대목에 날벼락” 업주들 분통또융01-240155
게시판 검색 검색