이스트시큐리티는 북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 북한 연계 해킹 공격이 발견됐다고 9일 밝혔다.

이번 공격은 마치 북한이탈주민 자문위원 대상 의견수렴 설문지처럼 위장한 점이 특징이다. 공격자는 HWP 한글 문서 내부 '개체 연결 삽입(OLE)' 기능을 악용했으며, 문서 실행 시 가짜 메시지 창 '상위 버전에서 작성한 문서입니다.' 등을 띄어 클릭을 유도했다. 

해당 메시지 창은 평소 HWP 문서에서 흔히 볼 수 있는 내용으로 '[확인]' 버튼을 클릭할 경우 '배치(Bat)' 파일과 '파워셸(Powershell)' 명령어를 통해 국내 특정 서버 'hanainternational[.]net'로 통신을 시도하는 것으로 나타났다. 특히 명령 제어(C2) 서버로 통신 시도 시 외부 노출을 최대한 숨기기 위해 작업 스케줄러에 잠복 기능처럼 동작 조건을 추가했으며, 마치 이스트소프트 프로그램처럼 위장하는 수법을 사용한 것으로 파악됐다.

ESRC는 지난 2월 유엔인권사무소 사칭 피싱 공격과 마찬가지로 이번 공격도 국내 서버를 해킹 중간 거점으로 활용했으며, 동일한 작업 스케줄러 이름과 'PEACE', 'Lailey' 아이디 등이 공통적으로 사용됐다고 설명했다. 이는 이전에 발생한 북한 연계 사이버 공격 사례와 일치하는 것으로 분석됐다.

문종현 ESRC 센터장 이사는 "HWP 악성 문서 기반 스피어 피싱 공격이 예전보다 많이 감소했지만, 오히려 은밀한 타깃 공격에 꾸준히 사용되고 있다"며 "이처럼 북한 연계 사이버 위협이 날이 갈수록 증대되고 있어 보다 긴밀한 민관 공조와 협력이 중요하다"고 말했다.

김가은 기자 7rsilver@techm.kr