[디지털투데이 석대건 기자] 보안 전문 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)는 외교 안보 관련 자료를 위장한 스피어 피싱 이메일 공격이 포착되었다고 3일 밝혔다.

ESRC에 따르면 이번 스피어 피싱 이메일 공격은 지능형지속위협(APT) 공격으로, 주로 외교, 안보, 통일 분야 및 대북, 탈북 단체 종사자를 대상으로 유포되고 있다.

공격자은 ‘최근 한반도 관련 주요국 동향.hwp', ‘3.17 미국의 편타곤 비밀 국가안보회의.hwp’ 등 외교, 안보 분야 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자만을 표적화해 발송하고 있다.

이번 공격은 첨부파일을 다운로드 하지 않고, 단순 열람만으로 공격 받기 때문에 더욱 주의가 요구된다.

만약 수신자가 공격에 사용된 첨부 파일을 열람하면 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버에 올려진 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행하며, 이를 통해 각종 정보를 탈취한다.

ESRC는 이번 공격을 작전명 ‘오퍼레이션 스텔스 파워(Operation Stealth Power)'로 명명했다.

암호 설정해 보안 프로그램 작동 방해도

또 유창한 한국어로 작성된 이메일 본문은 물론, 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울인 것처럼 위장해, 이메일 수신자가 정상적인 자료 파일로 착각하게끔 유도하는 고도화된 수법을 사용한 특징도 있다.

특히 hwp 문서 작성 프로그램에서 제공하는 파일 암호 설정 기능을 적용해 암호를 알기 전 소스 코드 분석이 불가능한 점을 악용해 보안 프로그램의 파일 악성 여부 판단을 방해하는 목적도 있는 것으로 보여진다고 ESRC는 밝혔다.

문종현 ESRC센터장 이사는 “특정 기관, 단체, 기업 종사자만을 표적해 악성 이메일을 발송하는 스피어 피싱 공격은 향후에도 지속적으로 이어질 것으로 판단된다”라며, “출처를 알 수 없는 URL, 이메일 첨부파일 등을 열어보지 않는 등 가장 기본적이지만 놓치기 쉬운 보안 수칙 준수를 습관화하는 자세가 반드시 필요하다”라고 당부했다.

현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해, 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 또한 보안 백신 프로그램 알약(ALYac)에서 공격에 사용된 악성코드를 탐지 및 차단할 수 있도록 긴급 업데이트도 완료한 상태다.