[디지털데일리 최민지기자] 지난해 한국의 특정 가상화폐 거래소를 대상으로 활동했던 공격그룹이 올해에는 글로벌을 상대로 공격을 시도하는 정황이 포착됐다.

이스트시큐리티는 지난달 31일 알약 블로그를 통해 특정 국가의 지원을 받는 공격그룹이 사이버위협 활동을 지속적으로 진행하고 있으며, 최근 베트남에서도 악성파일을 유포한 것으로 조사됐다고 밝혔다.

한국에서는 HWP 문서파일 취약점을 악용한 스피어피싱이 주로 활용된 반면, 해외는 DOC 문서 등의 매크로 기능을 활용하고 있다. 내부 코드를 숨기는데 노력을 기울이고 있다는 방증이다.

이스트시큐리티에 따르면 지난달 24일 베트남에서 발견된 DOC 기반의 악성파일은 매크로 기능을 이용해 추가 악성파일을 설치하는 종류다. 해당 문서가 실행되면 매크로 실행을 유도하는 영문 내용이 보여진다. 그러나 해당 문서파일은 한국어 기반으로 작성됐다.

공격자들은 과거 수년 전부터 한국을 대상으로 지속적인 사이버 위협 활동을 수행하고 있고, 2014년 미국 소니픽처스 공격 등에도 유사한 코드를 사용했다. 그러한 가운데 영문 직무기술서(Job Description) 내용으로 해외에서 다수의 공격 사례가 나오고 있으며, 지난달 베트남에서 악성 DOC 문서가 추가 발견된 것이다.

이 공격에 사용된 매크로에서는 ‘/haobao’ 인자값을 통해 실행하도록 제작됐는데, 베트남어로 돈주머니라는 의미도 갖고 있다. 매크로가 작동되면 임시폴더(Temp) 경로에 ‘lsm.exe’ 이름의 악성 파일이 생성되고 실행되는데, 이 파일은 지난달 23일 제작됐다.

이 악성파일은 메모리 맵핑 과정을 통해 외부의 명령제어 서버와 통신을 수행하게 되는데, 명령제어 서버는 한국의 특정 호스트로 밝혀졌다. 이 악성 파일의 내부코드는 지난해 8월 한국의 가상화폐 거래소를 상대로 한 HWP 취약점 활용 공격에서도 목격된 바 있다.

이 공격에는 정교한 한국어를 포함하며, 마치 수사기관에서 마약류 비트코인 수익자 추정 지갑주소 추적을 위한 협조의뢰 메일로 사칭하고 있지만 모두 임의 조작된 내용의 스피어피싱이었다.

지난해 8월 한국의 가상화폐 거래소 대상 공격과 지난달 베트남 공격 간 악성코드를 비교했을 때 명령제어 서버(C2) 주소만 다르고 내부 코드가 동일했다. 두 명령제어 서버 모두 한국의 웹 사이트라는 점도 공통점이다. 내부에 사용된 함수명도 공통적으로 ‘Core.dll’ 이름을 사용하고 있었다.

이스트시큐리티 측은 “국가 차원의 지원을 받는 것으로 추정되는 공격자 활동이 지금도 매우 활발하다는 점을 명심해야 한다”며 “공개되지 않은 다양한 보안위협들이 지금도 지속적으로 진행되고 있으므로, 개인 및 기업 보안 강화에 항상 주의를 기울여야 한다”고 공지했다.

<최민지 기자>cmj@ddaily.co.kr