Home > 전체기사
청와대 이어 산학협력단 사칭 메일까지... 전방위 사이버공격 드러나나
  |  입력 : 2018-11-30 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
산학협력단 사칭한 ‘대통령비서실 연구용과제 AIMS 과제등록 안내’ 메일 발견
한글 악성파일과 정상 PDF 파일 넣어 실행 유도...악성코드는 국내 렌트카 사이트와 연결
한수원 해킹 당시 공격코드와 일치...북한 소행 가능성 점점 높아져


[보안뉴스 김경애 기자] 청와대와 국립외교원장을 사칭한 메일이 발견된 데 이어 이번엔 대통령비서실 및 국가안보실의 과제를 수행하는 산학협력단을 사칭하는 악성 메일과 ‘국가안보실 정책자문위원회 전체회의 계획’ 제목의 악성파일도 발견됐다.

[이미지=iclickart]


이번에 발견된 악성메일은 ‘산학협력단 000’라고 특정인을 사칭하고 있으며, ‘[산학협력단] 대통령비서실 연구용과제 AIMS 과제등록 안내’란 메일 제목으로 10월 22일 발송된 것으로 드러났다.

메일에는 ‘대통령비서실 및 국가안보실과의 계약체결이 완료되어 AIMS 등록을 요청했다’며 ‘아직 과제등록이 작성상태이므로 빠른 신청 바란다’며 아래 순서에 따라 실행예산을 확인하라며 첨부된 악성파일의 실행을 유도하는 문구가 포함돼 있다.

첨부파일에는 ‘data.zip’ 파일명으로 4.1MB 크기의 압축파일이 포함돼 있다. 압축파일 안에는 △개인정보활용동의서(공통).hwp △견적서(00대_000).pdf △과업지사서(00대_000).pdf △발주서(계약서생략,최종)pdf란 파일명으로 총 4개의 파일이 들어 있다.

[이미지=보안뉴스]


본지 취재결과 이 가운데 개인정보활용동의서(공통).hwp 파일은 정보 탈취 기능을 갖춘 악성코드에 감염될 수 있는 한글 악성파일이며, 나머지 3개의 PDF 파일은 정상파일로 분석됐다. 메일 수신자가 악성메일에 포함된 첨부파일을 실행했다면 악성코드에 감염됐을 가능성이 높다.

이 뿐만 아니다. 11월 24일에는 ‘국가안보실 정책자문위원회 전체회의 계획’ 제목의 악성파일도 발견됐다. 해당 악성파일은 지난 10월 제작됐으며, 국내 XX소리 사이트를 거쳐 렌트카XXX 사이트와 통신한 것으로 조사됐다.

특히, 주목되는 점은 지난 9월 발견된 ‘2018년도 국정감사계획서-수정(안)’이라는 제목의 악성파일 동일 렌드카XXX 사이트와 통신한 것으로 분석됐다는 점이다. 이는 공격자가 렌트카XXX 사이트를 동일한 C&C(명령제어) 서버로 악용한 것으로, 동일범 소행일 가능성이 높다는 반증이기도 하다.

[이미지=보안뉴스]


이와 관련 이스트시큐리티 ESRC 문종현 이사는 “이번에 발견된 개인정보활용동의서, 국가안보실 정책자문위원회, 그리고 지난 9월에 발견된 2018년도 국정감사계획서-수정(안) 악성파일 모두 렌트카XXX 사이트와 연결된다”며 “해커가 사전에 C&C 서버 확보를 위해 국내 웹사이트를 해킹해 악용한 것으로 이 사건 역시 2014년 한수원 해킹 때 사용한 코드기법과 일치한 것으로 분석됐다. 기존 여러 사건들과 일부 쉘코드와 공격벡터가 일치하고 연관성이 있는 것으로 보인다. 이에 따라 이번 사건은 한수원 해킹 사태와의 연관성이 농후하며, 공격 주체를 밝히는데 중요한 결정적 단서 중 하나”라고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)