침해사고/위협동향

국방부 사칭 해킹메일, PC 내 파일 탈취 시도 발견

최민지

[디지털데일리 최민지기자] 8일 업계에 따르면 지난 5일 국방부를 사칭한 한글파일을 통해 해킹을 시도하려는 정황이 파악됐다.

사이버공격자는 이메일을 보내 ‘남북재래식 무기비교’ 파일을 유포했다. 이 파일은 한글문서인 ‘hwp’ 서식으로 작성됐다. 해당 메일을 열람한 후 파일을 다운로드하면 PC 내 주요 문서가 공격자에게 탈취된다. 공격자는 중국에서 무료로 제공하는 클라우드 서비스를 통해 파일을 수집한 것으로 알려졌다.

보안업계 관계자는 “북한이 보낸 해킹 시도로 추정된다”며 “북한은 지난해 1월 핵실험 후 이와 비슷한 방식으로 청와대를 사칭한 메일을 보낸 바 있는데, 이와 비슷한 방식으로 보인다”고 설명했다.

이어 “지난 5일부터 북한과 관련된 기관과 인물들에게 해당 메일이 발송된 것으로 나타났다”며 “탈북자를 비롯해 북한 관련 연구기관 등 최소 4군데 이상 산발적으로 해킹을 시도한 것으로 보인다”고 덧붙였다.

이는 타깃을 정해 표적공격을 하는 최근 방식과 달리 무차별적으로 해킹을 시도한 것으로 보이는 대목이다.

앞서, 김정은 북한 노동당 위원장의 신년사와 관련된 악성코드가 담긴 메일이 지난 2일 유포된 바 있다. ‘통일연구원 북한연구학회’ 명의로 발신된 이메일 내에는 ‘2017년 북한 신년사 분석자료’라는 제목의 한글파일이 첨부돼 있다. 이 파일에는 악성코드가 담겨 있다.

악성코드에 감염되면, 북한 해커에게 장악된 정부법무공단 서버로 연결돼 감염사실이 통보된다. 해커는 감염된 PC에 추가 파일을 개별적으로 전송하고, 보내진 파일에 따라 특정 동작을 하도록 조치한다.

8일은 김정은 북한 노동당 위원장의 생일이다. 지난해에도 비슷한 시기에 북한 측 소행으로 추정되는 악성코드를 발견했었다. 지난해 1월6일 북한 측은 4차 핵실험 후 청와대 사칭 해킹 이메일을 대량으로 발송했었다.

보안업계 관계자는 “미리 관련 정책들을 수집해 북한이 대응하려는 움직임으로도 해석 가능하다”며 “이번에 발견된 악성코드도 PC 내 정보를 수집하는 역할을 하고 있었으며, 사용된 악성코드의 명령제어(C&C) 서버 등이 과거에 북한에서 사용한 것과 동일했다”고 설명했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널