본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

현직 경찰 공무원 신분증을 도용한 북한발 해킹 공격 주의!

보안공지 2022-08-18

​​


최근 북한발 해킹 사건을 수사하는 현직 경찰 신분처럼 위장된 해킹 공격이 최근 등장하여 사용자들의 각별한 주의가 필요합니다. 


[그림 1] 해킹 시도 때 보여지는 현직 경찰 신분증 화면


이번 공격은 마치 ㅇㅇ경찰청에서 근무하는 첨단안보수사계 수사관처럼 사칭하였으며, 얼굴과 실명 등이 담긴 공무원증 PDF 문서로 위장해 해킹을 시도하였습니다. 

 

지난 2017년에도 국내 모 비트코인 거래소 관계자를 타깃으로 경찰 신분증을 도용하여 회원 가입 조회 협조 요청을 위장한 공격이 수행된 적이 있습니다. 당시 공격에는 “비트코인 거래내역.xls” 파일명의 악성 코드와 신분증 PDF 사본이 함께 사용됐고, 수사당국의 대대적인 조사 결과 북한 소행으로 결론난 바 있습니다.

2017년에 발생하였던  비트코인 거래소 대상 경찰 사칭 공격은 정상 신분증 문서를 이메일에 악성 문서와 별도 첨부해 보낸 수법을 썼지만, 이번 공격은 악성 실행파일(EXE) 내부에 정상 신분증 PDF 문서를 교묘히 은닉 후, 악성 코드 작동 시점에 정상 파일로 교체하는 방법을 사용하였습니다.

 

ESRC 분석 결과, 공격에 사용된 웹 서버 명령어가 지난 2월과 5월에 각각 보고된 [유엔인권사무소 "조선민주주의인민공화국 내 인권 상황"에 관한 특별보고서] 및 [대북전단과 관련한 민주평통 제20기 북한이탈주민 자문위원 대상 의견수렴] 사칭으로 수행된 공격 때와 명령어 패턴이 일치하는 것으로 확인되었습니다. 

 

더불어 “유엔인권사무소”를 사칭했던 DOCX 악성 문서의 매크로 실행 유도 디자인과 과거 북한 배후의 해킹 공격으로 분류된 “통일부 정착 지원과” 사칭 공격 때의 화면이 서로 동일한 것으로 확인되었습니다.

 

[그림 2] 유엔인권사무소 사칭(좌), 통일부 사칭(우) 악성파일 매크로 유도 비교 화면


과거 비슷한 공격에서 포착된 악성 워드 파일 공격의 경우 문서가 처음 실행될 때 [문서가 보호되었습니다]라는 가짜 마이크로소프트 타이틀을 보여주고, 세부 설명에 [콘텐츠 사용] 버튼 클릭 유도용 디자인이 동일한 이미지로 재활용되고 있지만, 간혹 영문 표기나 일부 단어가 변경된 경우도 발견되고 있어 주의 깊게 분석할 필요가 있습니다.

 

이번 해킹 공격 거점에 국내 서버가 악용되었으며, ESRC는 관계 당국과 긴밀히 공조해 침해 사고 서버를 신속히 조치, 추가 피해 발생을 차단하였습니다.

 

ESRC는 이번 공격에 사용된 명령제어(C2) 인프라 및 파워셸(Powershell) 코드 유사도, 주요 침해 지표(IoC) 등을 면밀히 비교한 결과, 이른바 ‘스모크 스크린’ 지능형지속위협(APT) 캠페인으로 명명된 북한 정찰총국 연계 해킹 조직의 소행으로 결론 지었습니다.

 

이스트시큐리티는 유사 피해 확산 방지를 위한 대응 조치를 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력하고 있습니다.