전형적인 스피어 피싱 기법...한수원 해킹 사태의 시작과 유사    

[보안뉴스 권 준] 벌써 2개월이 지난 한국수력원자력(이하 한수원) 해킹 사건의 수사결과가  아직까지 발표되지 않고 있는 가운데 지난 2월 초에도 발전소 직원들을 타깃으로 한 해킹 시도가 또 다시 포착된 것으로 드러났다.

복수의 보안업체에 따르면 지난 2월 4일 발전소 직원들을 대상으로 ‘발전기술 세미나 자료’라는 제목으로 악성코드가 내장된 이메일이 발송된 것으로 밝혀졌다. 악성코드가 삽입된 첨부파일은 ‘발전기_기술세미나_20150204’라는 제목의 파워포인트 문서로 위장된 것으로 드러났다. 이 외에 전력계통 기술자료와 전기공학관련 학과의 동문워크숍 PPT 자료를 위장하기도 한 것으로 조사됐다.    

이로 인해 한수원 사태의 악몽이 또 다시 재현되는 것 아니냐는 우려가 커지고 있다. 한수원 해킹 사태도 지난해 12월 9일 한수원 직원들을 대상으로 발송된 악성 이메일이 사건의 도화선이 됐기 때문이다.

지난해 12월 9일 한수원 직원들에게 발송된 악성 이메일은 ‘증기발생기 자동 감압 내용 참조하세요’라는 제목으로 MBR 파괴 악성코드가 내장된 ‘제어program(최신-W2).hwp’ 한글파일이 첨부돼 있었다. 한글파일이 파워포인트 형태의 압축파일이라는 것만 빼놓고는 거의 유사한 스피어 피싱(Spear Phishing) 기법이다.

‘작살 낚시’라는 말에서 유래된 스피어 피싱 기법은 ‘불특정 다수가 아닌 특정인 또는 조직을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도 또는 악성 첨부파일로 악성코드에 감염시키는 일종의 온라인 사기행위’라고 보안전문가들은 설명한다. 간략하게 요약하면 ‘표적형 악성 메일’로 정의할 수 있다.

이번 해킹 시도와 관련해서 얼마나 많은 관련 직원에게 메일이 발송됐는지, 구체적인 피해상황은 어느 정도인지, 그리고 첨부파일에 삽입된 악성코드는 어떤 기능을 갖췄는지 등에 대해서 아직 공개되지 않은 상황이다.

이에 한수원 수사를 담당하고 있는 개인정보범죄 정부합동수사단은 해당 이메일과 악성코드를 철저히 분석해서 이번에 포착된 악성 이메일과 한수원 사태 당시 이메일과의 유사성과 동일조직 여부, 피해상황 등에 대해 밝혀내고, 이를 향후 수사결과 발표에 포함시켜야 할 것으로 보인다.  

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>