"금감원 사칭해 가상통화 거래소 노린 APT 공격 주의"

'유사수신행위 법률 위반' 통지문으로 꾸며 첨부파일 열람 유도
2014년 소니픽쳐스 해킹에 쓰인 악성코드와 동일한 코드구조

[아시아경제 한진주 기자] 가상통화 거래소를 노려 금융감독원을 사칭한 APT(지능형지속위협) 공격이 이어지고 있다.

8일 이스트시큐리티는 가상통화 거래소 관계자들이 첨부파일을 열도록 유도하기 위해 금융감독원 명의로 유사수신행위 법률 위반 통지문으로 위장한 공격에 주의해야 한다고 밝혔다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 공격에 사용된 악성 문서파일은 2018년 8월6일 오전 11시 31분경에 제작됐다. 공격 대상자가 신뢰할 수 있도록 문서 내용에 고발인과 피고발인 등 특정인의 신상정보와 관계에 대한 내용이 포함돼있다.

또한 악성 문서파일의 스트림 내부는 16바이트의 XOR 코드로 암호화되어 있고 공격 대상자가 문서를 열람하면 셸코드(Shellcode) 작동에 의해 미국에 소재한 특정 호스트로 접속을 시도한다. 이후 어도비 플래시(SWF) 파일로 위장한 악성 DLL 파일이 공격 대상자의 PC에 설치되고, 해커(공격자)의 추가 명령을 수행하는 것으로 분석됐다.

‘유사수신행위 위반 통지서’로 위장한 악성파일 공격은 지난해 6월에 발견된 사례와 유사하다. 당시 공격에 쓰인 악성 문서를 통해 설치된 악성 파일은 2014년 미국에서 발생한 소니픽쳐스 해킹에 사용된 악성코드 계열과 동일한 코드구조를 가지고 있다. 또 이번 공격에 사용된 악성코드는 2009년부터 특정 정부의 지원을 받는 해커가 사용한 APT 공격과도 코드 유사성이 높은 것으로 분석됐다.

이러한 공격 방식과 코드의 유사성 등에 비춰볼 때 이번 공격 위협은 국내에서 지속적으로 발생하고 있는 각종 침해사고와 무관하지 않다. 특히 올해 초부터 수차례 위협 주의보를 내렸던 ▲’오퍼레이션 아라비안 나이트(Arabian Night)’, ▲’오퍼레이션 스타크루저(Operation Starcruiser)’ 등과 연계된 작전으로 판단된다.

현재 ESRC는 한국인터넷진흥원(KISA)과 협력해 해당 악성 프로그램의 명령제어서버(C2) 정보를 신속하게 공유하고, 국내에서의 접속을 차단했다. 이스트시큐리티는 하반기 정식 출시 예정인 ‘쓰렛인사이드(Threat Inside)’ 위협 인텔리전스 서비스를 통해 보다 체계적인 위협정보 분석 시스템을 공유할 계획이다.

문종현 ESRC 이사는 "최근까지도 한국의 암호화폐 거래 관계자를 겨냥한 맞춤형 스피어 피싱(Spear Phishing) 공격 정황이 지속적으로 포착되고 있으며, 금감원 등 공문서 사칭뿐만 아니라 암호화폐지갑 개발자나 금융 관련 콘퍼런스 문서 내용까지 폭넓게 악용되고 있다"며 "이번 공격은 기존에 특정 국가가 배후에 있는 것으로 알려진 정부기반 위협그룹의 공격 기법과 유사도가 높아 어느 때보다 민관이 협력해 위협 인텔리전스 보안강화에 힘써야 한다"고 말했다.

한진주 기자 truepearl@asiae.co.kr