[보안뉴스 권 준] 지난 8월 2일 국내 특정분야의 정책을 통합·조정하는 정부부처의 공직자를 타깃으로 한글문서 파일 취약점을 이용한 APT 공격이 이루어졌던 것으로 드러났다.

이번 공격정황을 포착한 잉카인터넷 대응팀에 따르면 국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가내부 정보수집을 목적으로 한 표적형 공격의 일환으로 추정하고 있다.

공격자는 한글문서 파일의 취약점을 이용했으며, ‘일일 주요외신 보도동향 보고’라는 내용을 포함하고 있는 것으로 알려졌다. 또한, 발신자는 이메일 제목과 내용 등에 한글을 직접 사용했고, 보낸 사람 부분에도 한글로 ‘최 강’이라는 발신자명과 hotmail.com 계정을 이용했다고 잉카인터넷 대응팀 측은 밝혔다.

아울러 잉카인터넷 대응팀은 올해 4월경에 보고됐던 국내 유명 모기업을 표적으로 한 공격기법과 매우 유사해 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행과 함께 이상 징후를 계속 예의주시 중인 것으로 알려졌다.

악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인됐고, 아래와 같은 내용으로 만들어져 있다. 이메일 제목에는 한글로 ‘(수정) 8.2 외신종합’이라는 내용이 있고, 본문에는 ‘참고하세요’라는 짧은 표현만 기재돼 있다. 첨부파일에는 ‘8.2(목).hwp’ 이름의 악성파일이 포함돼 있다.