이스트시큐리티, 외교안보 학술회의 토론 주제 사칭한 북 연계 해킹 공격 주의:: 보드나라

뉴스

단신뉴스

오늘의 주요뉴스

메인

전송 2022-12-02 12:13

[뉴스/보도자료]
이스트시큐리티, 외교안보 학술회의 토론 주제 사칭한 북 연계 해킹 공격 주의

보안 전문 기업 이스트시큐리티(대표 정진일)는 남북 외교안보 학술회의 토론 주제와 발제문 요청처럼 위장한 북한 연계 해킹 공격이 등장했다며, 각별한 주의가 요구된다고 2일 밝혔다.

이번 공격은 국내 외교/안보/통일 분야 종사자를 겨냥한 것으로 보이며, 다가오는 학술회의나 연말 행사 참석 대상자로 하여금 일정 문의나 자료 요청처럼 현혹해 이메일로 접근한 것으로 드러났다. 이후 회신 등 관심을 보인 인물에게 선별 접근하는 이른바 투-트랙 스피어 피싱(Spear Phishing) 공격을 수행한 것으로 밝혀졌다.

초기에 공격자는 일반 문의처럼 평소 흔하게 접할 수 있는 내용을 담아 메일을 보내는데, 이때 별도의 첨부파일이나 URL링크를 의도적으로 넣지 않았다.

보통 해킹 모의훈련 참여 경험이 있거나 침해사고 예방 교육을 받은 사람은 이메일 내 첨부파일이나 URL 존재 여부를 통해 악성 가능여부를 의심하는 경우가 있으나, 이처럼 별첨 내용이 없을 경우 별다른 의심없이 쉽게 믿고 열어보는 경우가 생길 수 있다.

공격자들은 이러한 보안 심리와 문제 의식을 교묘히 파고드는 전략을 구사한다. 처음 메일에 반응한 사람에게 정상 파일을 한번 더 보내 신뢰를 높이는 경우도 있지만, 주로 회신한 사람에게 악성 파일이나 URL을 보내 바로 해킹을 시도한다.

이스트시큐리티의 보안위협 분석 전문 조직인 시큐리티 대응센터(이하 ESRC)는 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달한 정황을 포착했고, 얼핏 보기에 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 바로가기(LNK) 유형의 악성 파일을 발견했다.

예를 들어 중요 자료.PDF.LNK 파일이 있다면, 바로가기(LNK) 확장자 부분은 윈도우 운영체제에서 보여지지 않기 때문에, 실제로는 중요 자료.PDF 파일처럼 보여지게 되는 원리를 악용한 것이다.

해당 바로가기(LNK) 파일의 속성을 살펴보면, 마치 PDF문서처럼 보이지만, 실제로는 실행 대상 명령어에 mshta.exe 프로그램을 통해 특정 웹 서버로 은밀히 통신을 시도하는 명령이 포함돼 있다.

한편, 새로 식별된 거점 서버는 이미 국내 침해사고 사례에서 대표성을 가지며, 지속 포착 중인 웹 프리 호스팅 도메인으로 생성됐고, 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나라는 점이 주목된다.

공격자가 구축한 본진 서버와 통신이 이뤄지면, 추가 스크립트 및 파워셸 명령에 따라 사용자 컴퓨터 환경과 내부 프로그램 정보 등을 조회 수집해 탈취를 시도한다. 이때 새로운 서버가 식별됐는데, cimoon 키워드의 경우 국내 침해사고에서 종종 보고되며, 특정 인물의 아이디로 알려져 있다.

ESRC 분석결과 피해자가 해킹에 노출됐을 때, 공격자는 의심을 최소화하기 위해 명령 서버에 치밀한 준비를 해둔 것으로 드러났다. 피해자의 로컬 환경에 존재하는 악성 LNK 파일이 작동 후 개인 정보가 유출될 경우 해당 LNK 파일을 삭제하고, 정상 PDF 문서로 교체하는 명령까지 준비한 것으로 밝혀졌다.

특히, 서버에 여러 파일들이 존재했던 것으로 분석됐다. 다양한 형태의 공격을 준비한 정황이 확인됐고, 대용량 첨부파일 링크를 통해 정상 PDF 문서로 교체를 시도했지만, 시점에 따라 파일이 정상적으로 받아지지 않을 수도 있다.

이처럼 외형상PDF 문서 파일을 메일로 수신할 경우, 2중 확장명 여부 등을 꼼꼼히 살펴보는 적극적 노력이 필요하다.

공격자가 LNK 악성파일을 이메일에 첨부할 때 확장명이 보이지 않도록 하기 위해 보통 ZIP이나 RAR 등으로 압축하므로, 압축을 무심코 풀어서 실행하면 안된다. 즉 압축 파일 내부 목록을 먼저 살펴보고 접근하면 유사한 위협 예방에 도움이 된다.

이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하였으며, 현재 한국인터넷진흥원(KISA) 등 관련 부처와 유사 피해 확산 방지를 위해 면밀히 협력하고 있다.

태그(Tag) : 이스트소프트, 사이버 보안, 스팸메일, 악성코드

관련 기사 보기

[뉴스] 라바웨이브, 몸캠피싱 계좌정지로 피해 최소화 시급
[뉴스] GPU Rowhammer로 시스템 루트 권한까지 탈취, GPUBreach 취약점 발견
[뉴스] 라바웨이브-경찰청, 국내 최초 딥페이크 예방기술 체험 공개
[뉴스] 유아이패스, 사기 방지 강화와 대출 가속을 위한 에이전틱 솔루션 출시
[뉴스] 도브러너, 멀티 DRM 환경을 위한 라이선스 보안 솔루션 ‘라이선스 사이퍼 게이트웨이’ 출시
[뉴스] 델, AI 및 양자 컴퓨팅 리스크 대응을 위한 사이버 복원력 강화
태그(Tags) : 이스트소프트, 사이버 보안, 스팸메일, 악성코드 관련기사 더보기

편집부 /

press@bodnara.co.kr

이기사와 사진은 업체에서 제공받은 보도자료와 사진으로, 보드나라의 논조와는 다르다는 점을 알려드립니다.

보드나라 많이본 기사

엔비디아 앱 DLSS 4.5 DMFG, 6x 모드, 사전 세이더 캐시 컴파일 지원 업데이트

일부 지역 메모리 시장 가격 급락, 일시 조정?

현대자동차, '볼더' 콘셉트 세계 최초 공개

메모리 가격 급락에 중국 사재기 업체들 비명?

인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K Plus

신중한 SSD 선택의 가치, ESSENCORE KLEVV CRAS C925G M.2 NVMe (2TB)

DDR5·HBM 메모리 폭등의 유일한 해결법 반도체 증설 현황 총정리, 삼성전자·SK하이닉스·마이크론 [메모리 가격 폭등 7부]

AM5 CPU 막내에서 큰형님으로의 진화,라이젠 5 7400F vs 라이젠 7 9800X3D 차이는?

이 기사의 의견 보기

닉네임

웹봇방지

2026년 04월

주간 히트 랭킹

인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K P

신중한 SSD 선택의 가치, ESSENCORE KLEVV CRAS C925G M.

DDR5·HBM 메모리 폭등의 유일한 해결법 반도체 증설 현

AM5 CPU 막내에서 큰형님으로의 진화,라이젠 5 7400F vs

어둠 속에 선명한 ip 카메라, ipTIME C400GS 및 C500GS

튜닝과 스윗스팟 이상 성능을 지향,ESSENCORE KLEVV DDR5

화제의 게임 붉은사막,더 어울리는 CPU 선택은?

메모리값 폭등 영향 받은 그래픽카드와 PC부품 가격 동향

새출발을 위한 합리적 게이밍 노트북,MSI 사이보그 15 B2

ASUS ROG 20주년 신제품 쇼케이스, 키움 DRX와 R&D

ipTIME, 인텔 쿼드코어 CPU	팅크웨어 아이나비 Z1	오라클 AI 데이터베이스@AW



포르쉐 911 터보 S	에일리언웨어 16 에어리어-	기가바이트 H810M K GEN5



리안리 하이드로시프트 2 L	크로스오버 27LGQ175CM	지클릭커 슈퍼히어로 V104