금융감독원 조사 통지 문서 위장 암호화폐 타깃 공격 발견

정부지원 배후로 추정되는 해커집단의 지속적인 금융권 타깃 공격
오퍼레이션 아라비안나이트·배틀크루저 등 공격 캠페인의 연장선으로 분석

[보안뉴스 김경애 기자] 금융감독원을 사칭한 APT(지능형지속위협) 공격 정황이 발견됐다. 암호화폐 거래소를 노린 타깃 공격으로 첨부 파일 열람 유도를 위해 ‘유사수신행위 법률 위반 통지문’ 등 다양한 내용으로 작성됐다.

▲ 금융감독원 유사수신행위 위반통보로 위장한 문서화면[이미지=이스트시큐리티]

악성코드는 2018년 8월 6일 오전 11시 31분경에 제작됐으며, ‘유사수신행위 법률 위반 통지문’ 내용에는 직업, 특정 주소, 집주소, 이름, 메일주소, 핸드폰번호 등 개인 신상정보를 구체적으로 기재해 쉽게 현혹될 수 있도록 꾸며졌다. 이와 관련 이스트시큐리티 시큐리티대응센터(이하 ESRC) 문종현 이사는 “공식문서 포맷을 가져다가 진짜처럼 조작했을 가능성이 있다”며 “텍스트기반의 문서 작업형태로 오타 발생 등 일반 문서 타입”이라고 설명했다.

▲‘유사수신행위 위반 통지서’ 위장 악성파일 화면[이미지=제보자]

ESRC에 따르면 악성 문서파일의 스트림 내부는 16바이트의 XOR 코드로 암호화돼 있다. 공격 대상자가 문서를 열람하면 셸코드(Shellcode) 작동에 의해 미국에 소재한 특정 호스트로 접속을 시도한다. 이후 어도비 플래시(SWF) 파일로 위장한 악성 DLL 파일이 공격 대상자의 PC에 설치되고, 해커(공격자)의 추가 명령을 수행한다.

▲2017년 발견됐던 DOC 악성문서와 소니픽쳐스 공격 악성파일 계열 코드 비교[이미지=이스트시큐리티]

특히 ‘유사수신행위 위반 통지서’ 위장 악성파일 공격 방식은 지난 2017년 6월경 비슷한 사례가 보고된 바 있다. 당시 공격에서 사용된 악성 파일은 2014년 미국에서 발생한 소니픽쳐스 내부 공격에 사용된 악성코드 계열과 동일한 코드 구조로 분석됐다.

이와 관련 ESRC 문종현 이사는 “이번 공격에 사용된 악성코드는 2009년부터 특정 정부 지원을 받는 것으로 추정되고 있는 해커가 사용하는 APT 공격 시리즈와 코드 유사성이 매우 높다”며 “이번 공격 위협은 국내에서 지속적으로 발생하고 있는 각종 침해사고와 무관하지 않으며, 특히, 올해 초부터 수차례 위협 주의보를 내렸던 △오퍼레이션 아라비안 나이트(Arabian Night) △오퍼레이션 스타크루저(Operation Starcruiser) 등과 연계된 작전으로 판단된다”고 밝혔다.

▲16바이트 키로 암호화된 악성 포스트스크립트 화면[이미지=이스트시큐리티]

이어 문종현 이사는 “최근까지도 한국의 암호화폐 거래소 관계자를 겨냥한 맞춤형 스피어 피싱(Spear Phishing) 공격 정황이 지속적으로 포착되고 있으며, 금감원 등 공문서 사칭뿐만 아니라 암호화폐 지갑 개발자나 금융 관련 콘퍼런스 문서 내용까지 폭넓게 악용되는 만큼 보다 세심한 관심과 주의가 필요하다”며, “그 어느 때보다 민관이 협력해 위협 인텔리전스 보안강화에 힘써야 할 시기로 보인다”고 강조했다.

현재 ESRC에서는 한국인터넷진흥원(KISA)과 협력해 해당 악성 프로그램의 명령제어(C&C) 서버 정보를 신속하게 공유하고, 국내에서의 접속을 차단한 상태다.

한편, 이스트시큐리티는 정부 지원을 받는 것으로 알려진 특정 위협 그룹들에 대한 추적을 계속하고 있으며, 하반기 정식 출시 예정인 ‘쓰렛인사이드(Threat Inside)’ 위협 인텔리전스 서비스를 통해 보다 체계적인 위협정보 분석 시스템을 공유할 계획이다.
[김경애 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)