[디지털데일리 이종현기자] 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 악성 한글문서(.hwp)가 전파되고 있다. 분석 결과 북한 해킹조직에 의한 소행으로 추정된다.
23일 보안기업 이스트시큐리티는 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 것처럼 위장한 공격이 발견됐다고 밝혔다. 실제 존재하는 유튜브 방송을 사칭해 대북 분야 전문가를 대상으로 공격이 이뤄졌다.
문서파일은 실제 프로그램 진행자 소가와 함께 5월 24일 ‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은? 이라는 주제로 방송 출연이 가능한지를 문의하는 내용을 담고 있다.
파일을 받은 이가 문서를 열면 흔히 볼 수 있는 상위 버전에서 작성한 문서입니다라는 문구가 나오는데, 이를 클릭하면 악성 행위가 이뤄지는 방식이다. 개체연결삽입(OLE) 명령을 이용했다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 해당 OLE를 누르면 북한 연계 해킹 사건에서 연이어 발견되고 있는 특정 서버로 연결된다. 북한 해킹조직 ‘금성121’가 사용한 공통점이 여럿 발견됨에 따라 해당 조직의 소행인 것으로 파악된다는 것이 ESRC 측 분석이다.
금성121 등 북한 연계 해킹 조직은 hwp 기반 악성문서를 지능형지속위협(APT) 공격에 적극적으로 활용하고 있다. 주로 북한인권분야 종사자나 탈북 지원 활동가, 대북언론매체 기자 등을 상대로 은밀한 접근을 꾸준히 시도하는 중이다.
ESRC는 이는 최근 윤석열 대통령과 미국 조 바이든 대통령이 한미정상회담 공동선언문을 통해 사이버 적대세력 억지와 핵심기반시설 사이버보안 등을 주요 의제로 포함하고, 북한의 사이버 위협 대응 협력을 대폭 확대하기로 발표하는 등 사이버 안보가 핵심 의제 중 하나로 급부상한 가운데 행해졌다는 점에 주목할 필요가 있다고 전했다.
ESRC 센터장 문종현 이사는 “새 정부 출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않는다. 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다”며 “특히, 민간분야를 대상으로 한 북한 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다”고 당부했다.
한편 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유하는 중이다.