실시간 뉴스



통일부 기자단 해킹 시도 '빙산의 일각'…2년 넘게 국내 공격


"악성코드 유포·이메일 계정 탈취 동시…암호화폐거래소까지 노려"

[아이뉴스24 김국배 기자] 이달초 통일부 출입기자 77명을 대상으로 악성코드를 유포한 해커 조직이 2년 이상 국내 정부기관 등을 노리고 해킹 공격을 수행해왔다는 분석 결과가 나왔다.

31일 국내 보안업체 NSHC가 공개한 위협 인텔리전스 보고서에 따르면 이 조직은 국내 도메인을 가진 특정 서버를 무려 27개월 이상 명령제어(C2) 서버로 해킹 공격에 사용해 활동한 것으로 확인됐다. 서버 인터넷주소(IP)는 일본으로 파악됐다.

이 해커 조직은 '섹터A05' 해커 그룹의 하위 조직으로 추정된다. NSHC는 북한 정부의 지원을 받는 조직을 '섹터A'로 분류하고 있다.

해커가 통일부 출입기자들에게 보낸 이메일 [자료=NSHC]
해커가 통일부 출입기자들에게 보낸 이메일 [자료=NSHC]

이번에 통일부 출입기자를 대상으로 유포된 악성코드는 압축 파일 형태의 실행 파일을 한글(hwp) 파일로 위장한 게 특징. 파일 내부에는 공격 대상을 속이기 위한 정상 한글 파일과 악의적 목적으로 제작한 스크립트가 포함됐다.

과거 주로 이메일에 한글 파일을 첨부한 뒤 문서를 열어볼 때 한글 파일 취약점을 악용해 악성코드 감염을 시도하던 것과는 달라진 부분이다. 해당 악성코드는 원격제어 악성코드로 감염될 경우 추가 악성코드를 내려받거나 브라우저 히스토리 정보 등을 유출한다.

또한 악성코드를 안전하게 공급하는 용도로 구글 드라이브를 쓴 점도 눈길을 끈다. 공격 대상 PC에서 탈취한 다양한 정보를 여기에 보관하기도 했다.

장영준 NSHC 스렛리콘(ThreatRecon)팀 수석연구원은 "스크립트 형태의 악성코드를 사용한 건 공격 대상이 사용하는 보안 제품의 탐지를 피하기 위한 기술적 전략으로 볼 수 있다"며 "가령 백신(anti virus)은 기술적 특성상 실행 파일 위주로 탐지한다"고 말했다.

특히 이메일을 통한 악성코드 유포 공격과 이메일 계정 정보를 탈취하기 위한 피싱 공격을 함께 수행한다는 점도 드러났다. 네이버 메일, 구글 지메일 사용자 등의 패스워드를 획득하고자 했다.

중앙 정부를 비롯해 통일, 외교, 국방 영역 등의 정부 인사를 대상으로 해킹을 일삼던 이 조직은 최근 암호화폐 거래소·사용자로 공격 범위를 넓혔다. 정부 기밀정보 탈취뿐만 아니라 암호화폐를 통한 금전적 이득을 취하기 위한 것으로 분석된다.

장 연구원은 "이 조직은 공격 대상의 전체 파일 목록을 가져가는 등 정찰을 우선 실행한다"며 "이를 통해 공격 대상이 한국 정부와 관련된 중요 정보나 암호화폐 정보를 갖고 있는 경우 화면 캡처, 키로거 등 추가 악성코드를 전송하고 지속적으로 정보를 수집한다"고 설명했다.

김국배 기자 vermeer@inews24.com






alert

댓글 쓰기 제목 통일부 기자단 해킹 시도 '빙산의 일각'…2년 넘게 국내 공격

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스