최근 우리나라를 둘러싼 복잡한 외교 문제를 분석한 내용으로 위장한 스피어피싱 메일이 외교, 안보, 통일 분야 및 대북, 탈북 단체 종사자를 대상으로 유포되고 있다.
이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)에 따르면 ‘오퍼레이션 스텔스 파워(Operation Stealth Power)’라고 명명한 스피어피싱 공격이 ‘최근 한반도 관련 주요국 동향.hwp’, ‘3.17 미국의 펜타곤 비밀 국가안보회의.hwp’ 등 외교, 안보 분야 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자만을 표적화해 발송되고 있다.
수신자가 공격에 사용된 첨부 파일을 열람하면 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버에 올려진 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행하며, 이를 통해 각종 정보를 탈취하게 된다.
유창한 한국어로 작성된 이메일 본문은 물론, 첨부 문서에 암호를 설정하고 열람 후 파일 삭제를 권고하는 등 보안에 주의를 기울인 것처럼 위장해 이메일 수신자가 정상적인 자료 파일로 착각하게 유도하는 고도화된 수법을 사용하고 있다.
특히 hwp 문서 작성 프로그램에서 제공하는 파일 암호 설정 기능을 적용한 것은 이메일 수신자의 신뢰를 얻는 목적 외에도, 암호를 알기 전 소스 코드 분석이 불가능한 점을 악용해 보안 프로그램의 파일 악성 여부 판단을 방해하는 목적도 있는 것으로 보인다.
이 밖에도 파일 내부의 일부 데이터가 일요일인 2019년 3월 31일에 생성된 것으로 나타나, 공격 조직이 주말에도 활발하게 공격을 위한 작업을 수행하고 있는 것으로 추정된다.
ESRC센터장인 문종현 이사는 “특정 기관, 단체, 기업 종사자만을 표적해 악성 이메일을 발송하는 스피어 피싱 공격은 향후에도 지속적으로 이어질 것으로 판단된다”며 “출처를 알 수 없는 URL, 이메일 첨부파일 등을 열어보지 않는 등 가장 기본적이지만 놓치기 쉬운 보안 수칙 준수를 습관화하는 자세가 반드시 필요하다”라고 당부했다.
