이스트시큐리티는 기업 담당자를 겨냥한 정교한 스피어피싱(spear phishing·특정 표적을 정해놓고 하는 정보 탈취 공격) 공격을 포착했다며 기업의 주의를 당부했다.
이스트시큐리티는 이스트시큐리티 대응센터(ESRC)에서 운영 중인 지능형 지속 공격(APT) 탐지 시스템을 통해 '개인정보 유출 의심 확인 요청'이라는 소재를 악용한 표적형 악성 메일 공격을 포착했다고 15일 밝혔다.
이번 공격은 불특정 다수에게 악성코드를 무작위로 살포하던 과거 방식과 달리, 특정 기업의 실무 담당자와 여러 차례 정상적인 메일을 주고받으며 신뢰를 쌓은 뒤 악성 파일을 실행하도록 유도하는 전형적인 '사회공학적' 기법을 활용한 것이 특징이다.
공격자는 첫 번째 시도에서 메일 내 악성 링크가 기업의 보안 솔루션에 의해 차단되자 담당자에게 "자체 보안팀 검사 결과 이상이 없으며 오탐지로 보인다"고 안심시킨 뒤, 백신 감시를 우회하기 위해 암호가 설정된 압축 파일 형태로 악성코드를 재전송했다.
사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면, 백그라운드에서 32비트 파워쉘(PowerShell)이 강제 호출되면서 일부 보안 솔루션의 탐지를 우회한다. 사용자의 눈에는 정상적인 엑셀이나 PDF 고객현황 문서가 출력되지만, 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다.
ESRC는 수집한 악성 샘플 3종을 정밀 분석한 결과, 모두 동일한 내부 구조와 미끼 문서(고객현황 위장)를 공유했다고 설명했다. 또 이는 북한 연계 해킹 조직인 킴수키(Kimsuky)의 전형적인 공격 수법과 유사하다고 덧붙였다.
ESRC 관계자는 "이번 공격은 보안 담당자의 가장 큰 관심사이자 취약점인 '개인정보 유출'을 명분으로 삼아 의심을 피했다"며 "발신자가 외부인일 경우 대화가 자연스럽게 이어지더라도 첨부파일이나 링크를 실행할 때 각별히 주의해야 한다"고 말했다.
이어 "보안 솔루션이 한 번 차단한 파일에 대해 상대방이 오탐이라며 암호 압축 파일로 재전송하는 경우는 명백한 공격 신호이기 때문에 절대 실행해서는 안 된다"고 강조했다.