이스트시큐리티, 금융 관련 내용으로 공문서 사칭해 유포…한글문서 사용해 국내 사용자 타깃 공격
소니픽처스 해킹에 사용된 악성코드와 유사한 악성코드가 공공기관을 사칭하는 악성문서로 유포되고 있다.
이스트시큐리티 시큐리티대응센터(ESRC)가 20일 발표한 보고서에 따르면 ‘유령 꼭두각시(Ghost Puppet)’라고 명명한 공공기관 사칭 악성코드에서 2009년 7·7 디도스, 2011년 농협 해킹, 2014년 소니픽처스 해킹 등에 사용된 문자열과 유사한 문자열이 사용된 것으로 분석됐다.
‘유령 꼭두각시’는 이력서, 논문, 보도자료 등의 여러 내용을 위장해 유포되지만 대부분 암호화폐, 유사수신행위, 부동산 등 금융과 관련된 내용이다. ESRC는 ‘유사수신행위 위반통보.hwp’라는 제목으로 유포된 악성문서를 분석했는데, 유사 수신 등 법률과 관련된 전문 지식을 바탕으로 작성된 것이 아니라 인터넷에 업로드된 양식을 수정하는 방식을 사용했는데, 인터넷 업로드된 파일의 오타까지도 그대로 사용하고 있다.
ESRC 관계자는 “우리나라에서만 사용하는 문서편집 프로그램을 사용하는 이 공격은 국가기관 공문서로 위장해 공격을 진행하고 있다. 이 사례 외에도 동일한 IoC 코드나 메타 데이터를 사용하는 유사한 침해사고가 한국에서는 수년간 계속 이어지고 있다”며 “이스트시큐리티는 하반기부터 서비스되는 ‘쓰렛 인사이드(Threat Inside)’를 통해 보다 체계적인 위협정보(IoC)와 전문화된 인텔리전스 리포트 서비스를 제공할 것”이라고 밝혔다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
