침해사고/위협동향

시스코 “그룹 123, 유창한 한국어로 새해에도 사이버공격”

최민지
[디지털데일리 최민지기자] 시스코의 보안 인텔리전스 그룹 탈로스(Talos)는 해킹조직 ‘그룹 123(Group 123)’이 지난해에 이어 올해에도 한국을 대상으로 사이버공격을 전개하고 있다고 17일 밝혔다.

시스코 탈로스에 따르면 그룹 123은 지난해부터 올해 1월까지 ▲골든타임 ▲사악한 새해 ▲프리밀크(FreeMilk) ▲북한 인권 ▲행복하십니까? ▲사악한 새해 2018년으로 명명된 총 6건의 공격을 수행했다.

골든타임, 사악한 새해, 북한 인권은 모두 한국 사용자를 특정 타깃으로 삼았다. 공격자는 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 결합된 스피어 피싱 이메일을 사용했다.

프리밀크는 한국뿐 아니라 전세계 금융기관을 대상으로 했으며, 마이크로소프트 오피스(MS Office) 문서를 이용했다. 행복하십니까의 경우, 디스크 와이퍼를 구축했다. 공격 목적은 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지우는 것이다.

골든타임에서 공격자는 사용자를 ‘통일·북한 학술대회’ 관련 패널로 유도하고 있었다. 발신자는 ‘kgf2016@yonsei.ac.kr’로, 한반도국제포럼이라는 학술대회 담당자 이메일로 확인됐다. 공격자가 이메일 주소의 보안을 침해하고 악용한 것으로 보인다.

지난해 초 그룹 123은 사악한 새해 공격을 실시했다. 통일부에서 한국에 대한 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려고 시도했다. 한국을 타깃으로 하며, 악성첨부 파일을 포함하는 소수의 스피어 피싱 이메일로 시작됐다.

지난해 관찰된 것과 동일하게 올해 1월2일 새해에도 공격은 진행됐다. 악성 HWP 문서를 활용했는데, 북한 지도자의 새해 신년사를 분석한 내용을 담고 있었다. 이 같은 접근 방식은 지난해 확인된 새로운 악성문서를 사용하는 방식과 동일하다.

탈로스 보고에 의하면 악성공격 조직은 한국을 노리고 있었다. 한국어를 자연스럽게 사용하고 지역 특성에 맞는 공격으로, 정보·문서 또는 이메일을 합법적이라 생각하도록 유도하고 있다.

탈로스 측은 “그룹 123은 HWP문서와 MS 문서를 이용해 국내뿐 아니라 전세계를 대상으로 공격하고 있다”며 “공개 익스플로잇과 스크립팅 언어를 사용해 악성 페이로드를 설치하고, 합법적인 웹사이트와 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다”고 설명했다.

이어 “그룹 123은 당분간 사라지지 않고 끊임없이 진화하며 앞으로도 활발한 활동을 펼칠 것”이라며 “이 그룹의 대상 프로파일링은 변화할 수 있지만 현재로서는 한국이 주요 대상”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널