파이어아이, 몽골 정부 관계자 대상 스피어 피싱 공격 포착

2017.03.15 09:23:19 / 최민지 cmj@ddaily.co.kr

▲매크로를 실행하게끔 유도하는 메시지.(자료 제공 파이어아이)

[디지털데일리 최민지기자] 파이어아이(www.fireeye.kr 지사장 전수홍)는 최근 몽골 정부 관계자를 대상으로 한 스피어 피싱 공격을 포착했다고 15일 밝혔다.

공격 대상이 된 몽골 정부 관계자는 악성 워드 문서가 첨부된 스피어 피싱 메일을 받았다. 첨부파일은 웹메일에 로그인하는 방법 혹은 입안 정보를 가장한 악성 워드 문서였으며, 공격자들은 소셜 엔지니어링 수법을 이용해 사용자들이 워드 문서에 있는 매크로를 실행하도록 유도했다. 실제로 악성 첨부 문서를 열면, 문서를 보기 위해서는 매크로를 실행시키라는 메시지가 뜬다.

사용자가 매크로를 실행시키면, 시스템은 원격 제어 악성코드(RAT)인 ‘포이즌 아이비(poison ivy)’에 감염된다. 해당 RAT는 지난 10년간 스크린 및 동영상 캡처, 파일 전송, 비밀번호 탈취, 트래픽 지연 등을 위해 악용된 악명 높은 악성코드다.

이번 스피어 피싱은 피해 시스템의 프로파일에 맞춰 우회하는 기술 방식을 택했다. 또, 공격자는 실행 파일을 디스크에서 작성하지 않음으로써, 보안 솔루션의 탐지 및 포렌식 검사를 우회했다. 이번 공격은 사용자 의심을 최소화하기 위해 인터넷에서 정상 문서를 다운로드하고 별도의 MS워드 인스턴스에서 이를 실행하기 위해 파워쉘을 사용했다

전수홍 파이어아이 코리아 지사장은 “보안 수칙을 철저하게 지키더라도 이러한 공격을 완벽하게 방어하는 것은 어렵다”며 “오늘날 스피어 피싱 공격은 매우 정교해서 사용자가 메일함 내 존재하는 10개 중 9개의 공격을 식별해낼 수 있다고 하더라도 결국에는 피해자가 될 수 있는데, 공격자는 단 한 번의 공격만 성공하면 되기 때문”이라고 말했다.

이어 “사이버 공격 위험이 증가하고 있는 가운데 국내 조직 및 개인은 이러한 공격을 탐지할 수 있는 정교한 기술을 확보해야 한다”며 “모든 산업 및 시민이 공격 대상이 될 수 있는 만큼, 특정 조직만을 선별적으로 보호하기 보다는 모든 분야 및 시민들을 대상으로 한 공격에 대응할 수 있는 강력한 보안이 필요한 시점”이라고 강조했다.

<최민지 기자>cmj@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
배너
  • 동영상
  • 포토뉴스
KT, IPTV 결제시장 ‘똑똑’ KT, IPTV 결제시장 ‘똑똑’
  • KT, IPTV 결제시장 ‘똑똑’
  • 배구코트 4개 보다 더 큰 사이니지, 누가 만들…
  • ‘갤럭시노트8·아이폰8’, 3G 가입자는 못…
  • 티몬, 여행상품권 ‘티몬패스’ 5000종으로…