보안 전문기업 이스트시큐리티는 23일 자체 운영하는 시큐리티대응센터(ESRC) 블로그를 통해 설을 앞두고 설 선물 내용으로 위장한 ‘지능형 지속 위협(APT)’ 공격이 발견됐다고 밝혔다.
공격에 이용된 악성파일은 ‘홍삼6품단가’라는 파일명을 가진 xlsx 파일이다. 이번 공격은 종전처럼 한글(HWP) 문서파일 대신 마이크로소프트(MS) 오피스 엑셀 문서파일의 취약점을 악용했다.ESRC는 이를 근거로 이번 APT 공격이 지난해 8월께 발견된 ‘오퍼레이션 로켓 맨’ 공격을 수행한 해킹그룹 ‘금성121’의 소행일 것으로 추정했다.
‘금성121’은 ‘레드아이즈’와 ‘APT37’, ‘그룹123’ 등 다양한 이름으로 불리며, 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 공격해왔다. 지난 2017년 또 다른 IP 주소를 거점으로 대북 관련 분야 관계자에게 HWP 취약점 공격을 수행한 것도 확인됐다. 이 때문에 국내 보안업계는 ‘금성121’의 배후에 북한 정부가 있는 것으로 보고 있다.
ESRC는 유사 사례에 대한 모니터링을 강화하고, 한국인터넷진흥원(KISA)과도 긴밀하게 협조하고 있는 상태라고 설명했다.
문종현 ESRC 이사는 “올 초부터 특정 정부 지원을 받는 해킹그룹이 특정 사용자층이 현혹될 만한 키워드와 내용을 이용해 은밀한 APT 공격을 수행하고 있다”며 “최근 사회적으로 관심이 높은 내용이 담긴 이메일을 수신할 경우 발신자 정보를 세심히 살펴볼 필요가 있다”고 당부했다.
