청와대 사칭 악성 파일 다수 발견··· “北 해킹 그룹 소행으로 추정”

침해사고/위협동향

디지털데일리 발행일 2020-06-19 11:20:58

이종현

[디지털데일리 이종현기자] 19일 새벽 청와대 관련 파일로 위장한 악성파일이 발견됐다. 해당 악성 파일의 배후로 지목된 것은 북한이다.

보안 기업 이스트시큐리티는 청와대 보안 이메일 파일을 사칭한 지능형지속위협(APT) 공격용 악성 파일을 다수 발견했다.

새롭게 발견된 악성 파일은 윈도 스크립트 파일 형태인 ‘WSF’ 확장자로 제작됐다. 파일명은 ‘bmail-security-check.wsf’다. 윈도 화면보호기 파일처럼 위장한 변종 파일인 ‘bmail-security.check.scr’도 함께 발견됐다.

이들 파일은 청와대 로고 이미지 아이콘을 가지고 있다. 또 청와대의 속칭인 ‘블루 하우스(BH)’를 연상케 하는 ‘bmail’이라는 파일명을 사용해 청와대의 보안 체크 프로그램으로 위장한 것으로 보인다는 것이 이스트시큐리티 측 설명이다.

해당 악성 파일을 실행하면 ‘보안메일 현시에 안전합니다’라는 문구의 메시지 창이 출력된다. 이스트시큐리티는 ‘현시’라는 흔히 쓰이지 않는 표현을 사용한 것으로 보아 악성 파일이 내국인에 의해 제작된 것은 아닌 것츠로 추정된다고 전했다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “발견된 악성 파일을 분석한 결과 공격자의 명령제어(C2) 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착됐다”며 “관련자의 각별한 주의가 필요하다”고 말했다.

또 그는 “이 악성 파일은 북한의 후원을 받는 것으로 알려진 사이버 범죄 조직 김수키 그룹의 공격과 유사성을 보인다”며 “김수키 그룹은 지난해 12월 청와대 상춘재 행사 견적서 사칭 공격에도 이와 유사한 악성 파일을 배포했다”고 밝혔다.

<이종현 기자>bell@ddaily.co.kr

이종현

bell@ddaily.co.kr

기자의 전체기사 보기