[디지털데일리 이종현기자] 북한에 의한 사이버공격 정황이 재차 발견됐다. 북한이탈주민(이하 탈북민) 자문위원을 대상으로 의견을 수렴하는 것처럼 사칭한 스피어피싱 공격이다.

9일 보안기업 이스트시큐리티는 탈북민 자문위원에게 의견을 수렴하는 듯한 내용으로 위장한 한글(HWP) 문서파일 기반 북한 연계 해킹 공격을 발견했다고 밝혔다. 탈북민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징이다.

공격자는 HWP 문서파일 내부에 개체 연결 삽입(OLE) 기능을 악용했다. 문서가 실행될 때 가짜 메시지 창 ‘상위 버전에서 작성한 문서입니다’ 등을 띄워 클릭을 유도했다. 해당 메시지 창은 평소 HWP 문서에서 흔히 볼 수 있는 내용으로, ‘확인’ 버튼을 누르면 해킹 공격에 노출되는 구조다.

해당 공격은 자유북한운동연합이 지난 4월 25일과 26일 이틀에 걸쳐 경기도 김포지역에서 20개의 대형 애드벌룬으로 약 100만장의 대북 전단을 살포했다고 주장한 이후 이뤄졌다. 마치 해당 내용의 의견을 수렴하는 것처럼 사칭함으로써 공격에 시기적절하게 활용했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 조사에 따르면 지난 2월 유엔인권사무소 사칭 피싱 공격과 마찬가지로 이번 공격도 국내 서버를 해킹 중간 거점으로 활용했다. 동일한 작업 스케줄러 이름과 ‘PEACE’, ‘Lailey’ 아이디 등이 공통적으로 사용된 것을 발견했다.

이번 공격에 사용된 HWP 공격 수법과 전술 명령 등은 이전의 북한 연계 사이버 공격 사례와 일치한 것으로 분석돼, ESRC는 공격 배후에 북한 사이버 위협 조직이 있는 것으로 지목했다.

ESRC 센터장 문종현 이사는 “HWP 악성 문서 기반의 스피어 피싱 공격이 예전보다 많이 감소했지만, 오히려 은밀한 타깃 공격에 지금도 꾸준히 목격되고 있는 무시할 수 없는 위협 중 하나”라며 “이처럼 북한 연계 사이버 위협이 날이 갈수록 증대되고 있기 때문에 보다 긴밀한 민관 공조와 협력이 중요하다”라고 당부했다.

한편 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.