이스트시큐리티, 통일 분야 교육 지원서 위장한 악성 파일 유포 주의
웹사이트에 미리 악성코드 심어두고, 접속시 감염시키는 공격 기법 활용
ⓒ뉴시스
국내 유명 대학에서 진행하는 통일 분야 교육 프로그램을 사칭한 해킹 공격이 발견돼 보안업계가 주의를 당부했다.
10일 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번 공격에는 ‘워터링 홀(Watering Hole)’해킹 기법이 활용됐다.
워터링 홀 공격이란 공격 대상이 자주 방문하는 웹사이트에 악성코드를 미리 심어두고, 대상이 접속할 때 감염시키는 방법이다. 이 방식은 특정 웹사이트 이용자를 표적으로 삼아 효과적으로 악성코드를 유포할 수 있어 위험성이 높다.
공격 방식은 교묘하다. 모집 공지 게시물에는 정상적인 다운로드 링크처럼 보이는 문구가 포함되어 있지만 실제로는 외부 사이트로 연결되지 않는다. 대신, 사용자가 해당 링크를 클릭하면 HWP 문서 내부에 숨겨진 악성코드(document.bat 파일)가 실행되면서 감염이 시작된다. 즉, 단순한 문서 파일처럼 보이지만 내부에 악성 프로그램이 포함돼 있어 실행 즉시 악성코드가 작동하는 방식이다.
더욱 위험한 점은 이 악성코드가 작업 스케줄러에 등록돼 15분마다 자동 실행된다는 것이다. 뿐만 아니라 감염된 컴퓨터는 해커의 명령제어(C2) 서버에 접속해 추가 악성 파일을 다운로드하거나 사용자 정보를 유출할 가능성이 높아 각별한 주의가 필요하다.
이스트시큐리티 측은 이번 공격 분석을 통해 북한 배후의 해킹 그룹 김수키(Kimsuky)의 소행으로 추정하고 있으며, 추가적인 분석을 진행 중이라고 설명했다.
이번 공격은 특정 교육 프로그램 지원자를 겨냥한 정교한 해킹 방식이므로 관련 기관과 개인은 각별한 주의를 기울여야 한다.
[서울=뉴시스]