하우리, 北해킹 조직의 스피어피싱 메일 공격 주의 10개월 동안 사칭 계정 24개로 국내외 주요 인사 수 백여 명에 발송 "기존 악성코드 배포방식과는 완전히 달라…각별한 주의 필요"
#존경하는 정책자문위원님께, 보안서약서 작성 및 회신을 부탁드립니다.
#한국CFO협회에서 개최하는 7/20(목)CFO조찬 세미나 강연 요청을 드립니다.
국내외 주요 기관에 소속된 400명 이상의 인사들에게 이와 같은 내용이 담긴 스피어피싱 메일이 발송돼 보안 전문가들이 각별한 주의를 당부했다.
◆국내외 주요 인사들 맞춤형으로 작성…회신 오면 악성코드 보내
3일 보안전문기업 하우리는 북한 해킹 조직으로 알려져 있는 김수키(Kimsuky)의 스피어피싱 사례가 빠르게 늘고 있다며 주의를 당부했다. 스피어피싱은 특정 개인 또는 그룹을 대상으로 하는 피싱 공격을 말한다.
하우리는 지난해 1월부터 10월까지 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개를 확인했다고 설명했다. 하우리 측은 “실제 공격에 사용된 서버와 계정은 파악된 수보다 휠씬 더 많을 것”이라고 설명했다.
하우리에 따르면, 피싱메일은 400여명 이상의 국내외 주요 기관에 소속된 인사에게 발송됐다. 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭해 은밀하고 자연스러운 스피어피싱 메일이 지속적으로 발송됐다.
하우리 측이 피싱 계정의 발신내역과 수신내역을 확인한 결과, 평균 25% 정도의 응답율이 확인됐다. 응답율은 수신자가 스피어피싱 메일을 받고 의심없이 발신자에게 회신을 메일을 보낸 수치다.
하우리 측은 “메일 수신자가 회신메일을 보냈지만, 실제로 악성코드에 감염됐는지의 여부는 알 수 없다”면서 “다만, 회신메일을 보낸 사용자라면 시스템 감염이 이뤄졌을 가능성이 높다”고 설명했다.
◆백신에 삭제되지 않는 기능 담아…“올해도 지속 될 것, 각별한 주의 필요”
악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 형태로 유포됐다. 특히, 백신 프로그램에 탐지돼 삭제되지 않도록 특정 백신 프로그램의 설치 여부를 확인하고 동작 여부를 결정하는 기능도 있었다.
이어 “올해도 APT 공격 그룹의 스피어피싱 메일은 국내, 해외를 막론하고 지속적이고, 다양한 형태로 발송될 것으로 예상돼 메일 사용에 각별한 주의가 필요하다”고 당부했다.
[서울=뉴시스]