이스트시큐리티, 기업 담당자 노린 ‘스피어피싱’ 포착⋯ 北 ‘김수키’ 연계 의심 작성일 06-15 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qseRR55TTu"> <figure class="figure_frm origin_fig" contents-hash="1b469f43fd7cbafd8089150216887b84e99591b33c452488d67f42178898bcb9" dmcf-pid="BOdee11yyU" dmcf-ptype="figure"> <p class="link_figure"><img alt="이스트시큐리티 제공." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/15/552787-G8RRw8K/20260615095352081cyre.png" data-org-width="640" dmcf-mid="2x1UUwwaSa" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/15/552787-G8RRw8K/20260615095352081cyre.png" width="658"></p> <figcaption class="txt_caption default_figure"> 이스트시큐리티 제공. </figcaption> </figure> <p contents-hash="25291a572946df49067df3c60715aa2b607d89910068020895bb6123336184ce" dmcf-pid="bIJddttWlp" dmcf-ptype="general"> 기업 담당자를 겨냥해 업무 맥락을 파고드는 정교한 스피어피싱 공격이 확인돼 기업들의 각별한 주의가 요구된다. </p> <p contents-hash="2d7965923dd82af580d9850b3dead274657e871b3bf3bb41e0da81d3f582e982" dmcf-pid="KCiJJFFYy0" dmcf-ptype="general">이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT(지능형 지속 공격) TDS를 통해 ‘개인정보 유출 의심 확인 요청’이라는 민감한 소재를 악용한 표적형 악성 메일 공격이 잇달아 포착됐다. </p> <p contents-hash="0cd702aa5792cb10020c3c71893f36a30c5b0d28fc32d0dd1ee34f220d8e3cc7" dmcf-pid="9hnii33Gy3" dmcf-ptype="general">이번 공격은 불특정 다수에게 악성코드를 무작위로 살포하던 과거 방식과 달리, 특정 기업의 실무 담당자와 여러 차례 정상적인 메일을 주고받으며 신뢰를 쌓은 뒤 악성 파일을 실행하도록 유도하는 전형적인 ‘사회공학적’ 기법을 활용했다. </p> <p contents-hash="3953fc9c2a703982c0cc0948d870f32eae7f4997bf4e025fa4428c45ace6c542" dmcf-pid="2lLnn00HWF" dmcf-ptype="general">공격자는 첫 번째 시도에서 메일 내 악성 링크가 기업의 보안 솔루션에 의해 차단되자 담당자에게 “자체 보안팀 검사 결과 이상이 없으며 오탐지로 보인다”고 안심시킨 뒤 백신 감시를 우회하기 위해 암호가 설정된 압축 파일 형태로 악성코드를 재전송하는 치밀함을 보였다. </p> <p contents-hash="23831b3a6eb0f298e611ee71a1dd3b22695fc2a537543625af3cad86a2e8b32b" dmcf-pid="VCiJJFFYWt" dmcf-ptype="general">만약 사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면, 백그라운드에서 32비트 파워쉘이 강제 호출되면서 일부 보안 솔루션의 탐지를 우회한다. 사용자의 눈에는 정상적인 엑셀(XLSX)이나 PDF 고객현황 문서가 출력되지만, 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다. </p> <figure class="figure_frm origin_fig" contents-hash="b04d721a772a16ace516d0e78bcd07220932354dacc8569302b542f28f2dbc08" dmcf-pid="fhnii33Gv1" dmcf-ptype="figure"> <p class="link_figure"><img alt="미끼 문서로 사용된 엑셀 파일 화면. 이스트시큐리티 제공." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/15/552787-G8RRw8K/20260615095353350vvnq.png" data-org-width="640" dmcf-mid="VpPii33GTg" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/15/552787-G8RRw8K/20260615095353350vvnq.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미끼 문서로 사용된 엑셀 파일 화면. 이스트시큐리티 제공. </figcaption> </figure> <p contents-hash="983256e63f2047cdb1cffb01562cced53ec329caa5275c37d6d8d842c7536e8a" dmcf-pid="4lLnn00HS5" dmcf-ptype="general"> 공격자는 탐지를 피하기 위해 두 가지 형태의 프레임워크를 혼용했다. 첫 번째는 정상 클라우드 서비스인 Dropbox API를 명령제어 서버로 악용해 PC 내 정보를 탈취하고 가상환경 분석을 탐지하는 기능을 포함했다. 두 번째는 공격자의 자체 HTTPS 서버와 직접 통신하는 형태로, 국내 유명 보안 소프트웨어의 자동 업데이트로 위장한 파일을 시작프로그램에 등록해 지속성을 확보하고 명령어를 은닉했다. </p> <p contents-hash="d74aef891eaa0badb5e011e94430222f777bee041727b8d31049d6b4df7fab23" dmcf-pid="8SoLLppXhZ" dmcf-ptype="general">ESRC는 수집한 악성 샘플 3종을 정밀 분석한 결과 모두 동일한 내부 구조와 미끼 문서(고객현황 위장)를 공유하는 것으로 확인했다. 즉, 동일한 공격 그룹이 하나의 캠페인 안에서 상황에 따라 도구를 바꿔 가며 운용하는 것으로 북한 연계 해킹 조직인 킴수키의 전형적인 공격 패턴과 매우 높은 유사성을 나타냈다. </p> <p contents-hash="6719e0e1cdea3bf7855be63f026e8e7ceb50583bb8ec33eafbe066f01c5167ec" dmcf-pid="6vgooUUZvX" dmcf-ptype="general">구체적으로 △개인정보 유출 명분으로 수차례 메일을 주고받은 ‘정교한 사회공학’ △LNK 파일을 통한 동일한 초기 실행 방식과 한국어 미끼 문서를 사용한 ‘공통 침투 체인’ △정상 클라우드와 자체 도메인을 병행해 차단 시 대체 채널 확보한 ‘다중 명령제어(C2) 인프라 운용’ △‘Pan’ 계열 캠페인 식별자와 국내 보안 소프트웨어 위장 등 한국 조직을 겨냥한 ‘국내 표적 정황’ 등의 특징이 공통적으로 확인됐다. </p> <p contents-hash="dd241d129dc147a167653c95f1ca7b2b00e86ab82bffe7d8aca033106d553bc0" dmcf-pid="PTagguu5WH" dmcf-ptype="general">이스트시큐리티 ESRC 관계자는 “이번 공격은 보안 담당자의 가장 큰 관심사이자 취약점인 ‘개인정보 유출’을 명분으로 삼아 의심을 피했다”며 “발신자가 외부인일 경우 대화가 자연스럽게 이어지더라도 첨부파일이나 링크를 실행할 때 각별히 주의해야 한다”고 강조했다. </p> <p contents-hash="4212859a760d415a1718da892882188bf7080efd4ab5117b627ee2706accc232" dmcf-pid="QyNaa771CG" dmcf-ptype="general">이어 “보안 솔루션이 한 번 차단한 파일에 대해 상대방이 오탐이라며 암호 압축 파일로 재전송하는 경우는 명백한 공격 신호이므로 절대 실행해서는 안 된다”며 “기업 실무자들은 윈도우 탐색기 설정에서 ‘알려진 파일 형식의 파일 확장명 숨기기’ 옵션을 해제하고 실행 전 실제 확장자(LNK, EXE 등)를 반드시 확인하는 보안 습관이 필요하다”고 당부했다. </p> <p contents-hash="d3e3fdeb0c807a520b3c49e9274cad3812a48642ca411b5b62c5172e0d32d900" dmcf-pid="xWjNNzztlY" dmcf-ptype="general">박준영 기자 pjy60@viva100.com</p> </section> </div> 관련자료 이전 네이버 플레이스서 동물병원 진료정보 본다…전용 검색필터 도입 06-15 다음 슈퍼 태양폭풍 방사선 영향 첫 규명…고위도 방사선량 15배 급증 06-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.