미끼용 정상 문서가 실행된 모습. 지니언스 제공
13일 보안업체 지니언스 시큐리티센터(GSC)는 지난달 22일 학술 컨퍼런스 자료집 배포를 사칭한 스피어피싱(Spear Phishing) 공격을 확인했다고 밝혔다.
해커들이 미끼로 사용한 행사는 지난달 12일 서울 코엑스에서 열린 ‘왜 지금 원산갈마 관광인가?’ 학술 컨퍼런스다. 공격자는 실제 행사 정보를 일부 도용해 이메일을 발송한 것으로 조사됐다.
● PDF 자료집인 줄 알았는데…클릭하자 악성코드 실행
이메일에는 PDF 자료집처럼 보이는 첨부파일이 포함돼 있었지만 실제로는 드롭박스(Dropbox) 클라우드로 연결되는 다운로드 링크였다.
사용자가 링크를 클릭하면 ISO 이미지 파일이 내려받아지고, 그 안에는 이름과 아이콘을 PDF처럼 꾸며 놓은 실행파일이 들어 있었다. 사용자가 이를 열면 실제 행사 자료집이 화면에 표시돼 의심을 피하도록 설계됐다.
하지만 동시에 악성코드도 실행된다.
실제 스피어피싱 메일의 내용. 지니언스 제공
최종적으로 실행되는 것은 원격제어 악성코드 ‘록랫(RokRAT)’의 변종이다. 이 악성코드는 감염된 PC의 운영체제와 계정, 프로세스, 화면 정보 등을 몰래 수집하고 외부 명령을 수행하는 기능을 갖추고 있다. 이를 이용해 해커들은 엑셀·워드·파워포인트·한글·PDF 등 업무 문서를 선별해 빼낼 수 있게 된다.
● 배후로 북한 해커조직 ‘APT37’ 지목…수법·계정 비슷
지니언스는 이번 공격이 북한 연계 해킹조직 APT37의 소행일 가능성이 높다고 분석했다.
지니언스는 이번 공격을 ‘캡슐 은닉 작전(Operation Capsule Vault)’으로 명명했다. 아울러 공격에 사용된 서버 주소 등 관련 정보를 함께 공개하며 이메일 유입-파일 실행-서버 통신까지 공격 전 과정을 연계해 탐지하는 대응 체계 강화가 필요하다고 밝혔다.
지니언스 측은 “실제 학술행사 자료집 배포를 사칭한 스피어피싱(Spear Phishing) 이메일로 정교한 사회공학 기법과 다단계 페이로드 구조를 포함한 공격”이라며 “침해지표(IoC) 기반 탐지뿐 아니라 스피어피싱 메일·클라우드 기반 C2 통신 등 공격 전 과정을 연계해 탐지할 수 있는 행위 기반 대응 체계를 갖춰야 한다”고 강조했다.
김영호 기자 rladudgh2349@donga.com