北추정 해커조직 ‘금성121’, 대북관계자 공격 시도 포착

일주일여 전 스피어 피싱 시도 이어 또 한번 시도 정황
ESRC “금성121 수행 중인 로켓맨 캠페인 일환인 듯”

© 뉴스1

통일부를 사칭해 스피어 피싱(Spear Phising) 공격을 시도한 ‘금성 121’이 일주일여 만에 또 다른 공격을 시도한 정황이 포착됐다.

특히 이번 공격은 대북관련 단체 등에서 활동하는 주요 인사들을 표적으로 하고 있어 관계자들의 주의가 요구된다.

앞서 ‘금성 121’은 지난 22일 통일부가 배포한 형식의 보도자료를 사칭해 사이버 공격을 실행한 바 있다.

보안업체 이스트시큐리티 시큐리티 대응센터(ESRC)는 1일 “지난 주말 동안 대북관련 단체 등에서 활동하는 주요 인사들에게 스피어 피싱 공격을 한 정황이 포착됐다”며 “이번 공격은 자세한 설명이나 내용 없이 배포되었고, 수신자로 하여금 단순 호기심에 첨부파일을 열어보도록 유인한 형태를 띄고 있다”고 밝혔다.

ESRC에 따르면, 최근 한국에서 발견되는 다수의 APT(지능형지속위협) 공격은 HWP 문서파일 취약점을 기반으로 하고 있으며, 이번에 발견된 사례 역시 동일하게 HWP 취약점이 악용된 것으로 나타났다.

ESRC는 이번 APT 공격이 ‘금성121’ 조직이 수행 중인 로켓맨 캠페인의 일환이라는 것을 확인했다고 밝혔다.

특히 공격벡터에는 마치 정상적인 배너의 이미지파일처럼 위장한 악성코드가 사용되었는데, 이러한 특징을 활용해 사이버 작전명을 ‘블랙배너(Operation Black Banner)’로 명명했다고 밝혔다.

ESRC가 해당 코드를 분석한 결과, 금성121 위협조직이 배후에 있다는 단서들을 확보했다고 설명했다.

악성코드는 ‘sogoupin.exe’ 파일명으로 등록되며 한국의 특정 C2 주소로 통신을 시도하게 된다. C2 서버(해커가 만든 명령제어 서버)와 통신을 할 때 ‘srvrlyscss’ 스트링이 사용되는 것을 볼 수 있는데 이 문자열이 최근 유사한 사고에서 지속적으로 발견되고 있다고 주장했다.

ESRC는 해당 문자열의 약어가 ‘Server Relay Success’ 줄임말로 추정되고 있으며 “금성121 그룹의 최신 APT 캠페인-‘작전명 로켓 맨(Operation Rocket Man)’” 리포트 등에서 공개된 바 있다고 덧붙였다.

ESRC는 “공격에 사용된 것이 제로데이 취약점(패치가 나오지 않은 취약점)은 아니며, 이미 보안패치가 완료된 것이 지속적을 악용되고 있다”며 “이용자들은 반드시 최신 버전으로 문서 소프트웨어를 업데이트해, 유사한 위협에 노출되지 않도록 해야한다”고 주의를 당부했다.

한편 ‘금성 121’은 과거 2018년 로켓맨 캠페인에서 ‘175.45.178.133(북한 평양시 류경동)’ 아이피 주소를 남긴 바 있어 북한의 지원을 받는 조직일 가능성이 제기되어 오고 있다.

(서울=뉴스1)