Home > 전체기사

또 북한발 해킹! 현직 경찰 신분증 교묘하게 도용한 공격 발견

  |  입력 : 2022-08-17 10:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
OO경찰청 안보수사과 현직에 근무 중인 수사관의 실명과 신분증 도용해 접근
북한발 해킹 메일을 수사하는 부서 특성 악용...대북 분야 종사자 주의


[보안뉴스 김영명 기자] 북한발 해킹 사건을 수사하는 현직 경찰 신분처럼 위장된 해킹 공격이 최근 등장했다. 이번 사례는 OO경찰청에서 근무하는 첨단안보수사계 수사관처럼 사칭했는데, 얼굴과 실명 등이 담긴 공무원증 PDF 문서로 위장해 해킹을 시도한 것으로 드러났다.

▲해킹 시도 때 보이는 현직 경찰 신분증 화면[이미지=이스트시큐리티]


경찰의 신분증을 도용한 해킹 사건은 앞서 2017년 국내 모 비트코인 거래소 관계자를 타깃으로 회원 가입 조회 협조 요청을 위장한 공격이 수행된 사례가 있다. 그 당시 공격에는 “비트코인 거래내역.xls” 파일명의 악성코드와 신분증 PDF 사본이 함께 사용됐으며, 수사당국의 대대적인 조사 결과 북한 소행으로 결론을 냈다.

2017년 비트코인 거래소 대상 경찰 사칭 공격은 정상 신분증 문서를 이메일에 악성 문서와 별도 첨부해 보낸 수법을 사용했지만, 이번 공격은 악성 실행파일(EXE) 내부에 정상 신분증 PDF 문서를 교묘히 은닉한 후, 악성코드 작동 시점에 정상 파일로 교체한 점이 다르다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 앞서 언급한 비트코인 거래소 사례처럼 국내 사이버 위협의 양상이 날이 갈수록 과감해지고, 노골적인 방식으로 진화를 거듭할 것으로 예상했다.

그러나 실행파일 유형의 전통적인 공격 기법은 세심한 주의와 평소 보안 동향에 많은 관심을 기울이면 충분히 사전 예방도 가능하다.

▲유엔인권사무소 사칭(왼쪽), 통일부 사칭(오른쪽) 악성파일 매크로 유도 비교 화면[이미지=이스트시큐리티]


해킹 거점 국내 서버 활용, 북 소행 연막 작전 APT 캠페인과 일치
특히, 이번과 같은 공격은 해킹 공격 피해 대상에 빈번히 노출되던 사람들이 유념해 둘 필요가 있다. ESRC는 이번 공격을 분석한 결과, 해킹 공격 거점에 국내 서버가 악용된 사실을 밝혀냈다. 이후 관계 당국과 긴밀히 공조해 침해 사고 서버를 신속히 조치, 추가 피해 발생을 차단함과 동시에 공격 명령 과정에 사용된 여러 기록을 확보해 면밀히 분석 중이다.

ESRC는 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 △[유엔인권사무소 “조선민주주의인민공화국 내 인권 상황”에 관한 특별보고서] △[대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴] 사칭으로 수행된 공격 때와 명령어 패턴이 일치한 것으로 파악했다.

더불어 ‘유엔인권사무소’를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 ‘통일부 정착 지원과’ 사칭 공격 때의 화면이 서로 동일한 것으로 조사됐다.

과거 비슷한 공격에서 포착된 악성 워드 파일 공격의 경우 문서가 처음 실행될 때 [문서가 보호되었습니다]라는 가짜 마이크로소프트 타이틀을 보여주고, 세부 설명에 [콘텐츠 사용] 버튼 클릭 유도용 디자인이 동일한 이미지로 재활용되고 있지만, 간혹 영문 표기나 일부 단어가 변경된 경우도 발견돼 주의 깊게 살펴보고 분석할 필요가 있다.

ESRC는 이번 공격에 사용된 명령제어(C2) 인프라와 파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC) 등을 면밀하게 비교한 결과, ‘스모크 스크린’ 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 해킹 조직의 소행으로 최종 분류했다고 설명했다.

ESRC 관계자는 “북한의 사이버 안보 위협은 대한민국 현직 경찰관의 신분을 도용해 해킹 대상자를 물색하고 과감한 접근까지 시도할 정도로 위험 수위가 높다”며 “무엇도 신뢰하지 않는다는 전제의 제로 트러스트 사이버보안 모델 개념처럼 항상 의심하고 경각심과 긴장을 높일 필요가 있다”라고 주의를 당부했다.

한편, 이스트시큐리티는 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력해 유사 피해 확산 방지를 위한 대응 조치를 하고 있다.
[김영명 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)