[디지털투데이 석대건 기자] ‘2020년’로 호기심을 유도하는 해킹 이메일이 확산되고 있다.

이스트시큐리티(대표 정상원)는 세계 최대 소비자 가전 박람회인 ‘2020 라스베가스 가전제품 박람회(이하 CES 2020)’의 참관단 참가신청서로 위장한 APT 공격을 수행 중이라고 24일 밝혔다.

특정 정부가 후원하는 해킹 조직 ‘라자루스(Lazarus)’의 소행으로 분석되는 이번 공격은 악성 문서 파일이 첨부된 이메일을 특정 대상에게 은밀히 발송하는 일명 스피어 피싱(Spear Phishing) 공격 방식이 사용됐다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 “라자루스 그룹이 제작한 것으로 분류된 최신 악성 파일이 오늘(24일) 발견됐으며, 한글 문서 파일이 열릴 때 보안취약점에 따라 추가 악성코드가 다운로드되어 설치를 시도한다”며, “공격자는 보안 시스템의 탐지를 회피하기 위해 허위 명령 제어(C2) 서버와 통신 행위를 넣어둔 치밀함도 보였다”고 설명했다.

실제로 박람회 주최 측은 최근 CES 2020 참관단을 모집을 마친 상태다.

(사진=이스크시큐리티)
CES 2020 참관단 신청서로 위장한 이메일에 첨부된 hwp 파일 (사진=이스크시큐리티)

ESRC 측은 “최근 라자루스 그룹의 사이버 위협 활동이 두드러진 가운데, HWP 취약점을 악용한 공격이 꾸준히 발견되고 있다”며, HWP 취약점에 대한 보안 공백에 대한 당부했다.

또 분석 결과 이번 악성코드의 위협 벡터와 코드 수법이 가상화폐 거래 투자자를 노린 공격과 유사하다고 판단하고, 관련성 여부에 조사를 집중하고 있다.

문종현 ESRC 센터장 문종현 이사는 “라자루스 APT 그룹이 다양한 내용의 문서 파일로 표적 공격을 수행하고 있다”며, “해당 취약점은 이미 보안패치가 완료된 상태이므로, 이용자들은 사용 중인 한컴 오피스를 최신 버전으로 업데이트하여 유사한 보안 위협에 노출되지 않도록 해야 한다”고 강조했다.
 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지