• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

발전소·외교 이어 방산까지...전방위 사이버공격 ‘진행형’ 2015.03.29

키 리졸브 연습 끝! 사이버위기 경보 ‘정상’ 환원 노렸나?_

방산 분야 관계자 타깃 스피어 피싱...사이버첩보전 치열_    

2~3월 연이은 사이버공격 포착...사이버전 태세 강화 필요


[보안뉴스 권 준] 한미 연합군사훈련인 키 리졸브 연습이 끝난 이후, 지난 24일부로 사이버 위기 경보가 ‘관심’에서 ‘정상’으로 환원(관련기사 클릭)된 가운데 첨단무기를 개발·생산하는 방위산업체 관계자를 타깃으로 한 스피어 피싱 공격이 최근 또 다시 발생해 긴장감이 고조되고 있다.   

  ▲ 방산 분야 관계자들을 타깃으로 발송된 스피어 피싱 메일 


보안업체 관계자들에 따르면 최근 국내 대기업의 방산 분야 임직원과 방위산업체의 군·지휘 통제체계 사업 관계자들을 대상으로 ‘PC 포맷 확인서’ 양식의 파워포인트 문서를 첨부한 악성 메일이 발송됐다.   


이메일 수신대상이 모두 방산 분야 관계자들인 이번 스피어 피싱(Spear Phishing) 공격은 윈도우 OLE 원격코드 실행 취약점(CVE-2014-6352)이 이용됐다. 해당 취약점을 통해 악성코드에 감염될 경우 관련자들의 PC내 정보가 공격자가 미리 구축해 놓은 C&C 서버로 전송되고, 공격자의 명령에 따라 다양한 악성행위를 수행하는 것으로 분석됐다.


이와 관련 최상명 하우리 CERT실장은 “이번 스피어 피싱에 사용된 OLE 취약점은 주로 파워포인트 슬라이드 쇼 문서 파일 형태로 전달된다”며, “이에 파워포인트 슬라이드 쇼 파일을 열람할 때 주의가 필요하다”고 말했다.


더욱이 이번 공격이 키 리졸브 연습이 끝나고 사이버위기 경보가 ‘정상’으로 환원된 이후에 감행됐다는 점에서, 그리고 지난 2월부터 발생한 연이은 사이버공격의 연장선상에서 이루어지고 있는 건 아니냐는 점에서 우려가 점차 커지고 있다.


먼저 지난 2월 4일에는 국내 발전소 직원들을 대상으로 ‘발전기술 세미나 자료’라는 제목으로 악성코드가 내장된 이메일이 발송된 바 있다. 악성코드가 삽입된 첨부파일은 ‘발전기_기술세미나_20150204’라는 제목의 파워포인트 문서였다. 이번처럼 파워포인트 문서로 위장한 공격이었다.


이어 지난 3월 12일에는 한수원 해커조직인 원전반대그룹이 ‘대한민국 한수원 경고장’이라는 트위터 글을 통해 활동을 재개하면서 유출문서를 또 다시 공개해 파장이 커졌다. 또한, 한수원 해커가 활동을 재개한 때와 비슷한 시점에는 전직 국무총리 등 한일 정재계 원로들이 대거 참석한 행사로, 지난 3월 22~23일 일본 동경에서 열린 ‘한일현인회의’ 관련 문서가 행사 전 유출돼 악성파일이 추가된 후, 관련자들에게 다시 발송된 사건도 있었다. 역시 스피어 피싱 기법이었다. 해당 악성 메일을 발송한 해커조직이 한수원 해커와 동일조직으로 추정된다는 분석도 뒤따랐다. 


이 뿐만 아니다. 3.20사이버테러 2주년 즈음인 지난 19일에는 3.20사이버테러를 일으킨 조직으로 추정되는 북한 해커조직이 국내 북한관련 사이트를 해킹해서 해당 사이트를 방문하는 방문객들에게 악성코드를 유포했다는 소식도 본지의 보도로 알려졌다. 해당 공격은 북한관련 사이트를 방문하는 특정 이용자를 노린 일종의 워터링 홀(Watering Hole) 공격이었다.


이와 함께 최근에는 정부부처와 공공기관에서 많이 사용하는 국내 웹메일 솔루션인 깨비메일의 액티브X에서 원격코드 실행 취약점이 발견(관련기사 클릭)되면서 깨비메일을 사용하는 기관 종사자들을 대상으로 한 스피어 피싱 또는 워터링 홀 등 타깃 공격 가능성이 제기되기도 했다.   


스피어 피싱 공격이 특정인 또는 조직을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해 악성 웹 사이트로 유도하거나 악성 첨부파일로 악성코드에 감염시키는 표적용 악성 메일(관련기사 클릭)이라면, 워터링 홀 공격은 특정 대상들만이 주로 방문하는 사이트를 해킹해 방문하는 특정 대상들의 악성코드 감염을 시도하는 공격을 의미하는 말로, 두 가지 공격방식 모두 특정 대상들을 타깃으로 하는 사이버공격이다.   


이렇듯 특정 타깃을 대상으로 한 사이버공격의 연장선상에서 최근 스피어 피싱과 워터링 홀 공격이 지속적으로 발생하고 있다는 점과 함께 무엇보다 이번 공격이 우리나라의 첨단무기를 개발·제조하는 방산기업 관계자들을 타깃으로 했다는 점에서 향후 후속 공격 준비나 기밀정보 수집을 위한 사이버첩보전 차원이라는 관측이 힘을 얻고 있다.   


이에 따라 사이버위기 경보를 ‘관심’으로 다시 상향 조정하거나 국가기간시설과 방위산업체, 그리고 정부부처·공공기관을 대상으로 한 모니터링 강화 등 본격적인 사이버전 대비태세에 돌입할 필요가 있다는 지적이 제기되고 있다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>