방위산업체 사칭 악성코드 발견…"표적 공격 가능성"

"'특정 국가 지원' 받는 해킹그룹과 기법 유사"

최근 북한으로 추정되는 사이버 공격이 잇따르는 가운데 국내 방위산업체를 사칭한 악성 문서파일이 발견됐다.6일 보안업체 이스트시큐리티에 따르면 해당 문서파일은 국내 방산업체 '○○○ 망 분리 관련 요청사항'이란 제목으로 제작됐다.

제작된 시간은 4일 오후 9시 50분께로 추정되며, 5일 최초로 발견됐다.

문서의 이미지 포맷에 정교하게 숨겨진 악성 모듈이 실행되면 한국에 있는 특정 호스트로 은밀하게 통신을 시작해 (공격자의) 추가 명령을 대기하며 잠복 업무를 수행한다.다행히 문서 작성 프로그램을 최신 보안 버전으로 업데이트 했다면 위협에 바로 노출되지는 않는다고 이스트시큐리티는 전했다.

분석 결과 해당 악성코드는 기존에 특정 국가 정부의 지원을 받는 것으로 추정되는 APT(지능형지속위협) 공격과 코드가 유사하고, 한국의 특정 웹 서버 5개를 해킹해 해커의 명령제어 서버로 사용하고 있었다.

이스트시큐리티는 방위산업 관련 종사자나 업체를 대상으로 한 표적 공격일 가능성을 열어두고, 관계기관과 공조해 대응하고 있다고 밝혔다.문종현 이사는 "이번 공격은 특정 정부가 배후에 있는 것으로 알려진 위협그룹의 공격 기법과 유사도가 높다"며 "최근 한국 맞춤형 스피어 피싱(Spear Phishing) 공격 정황이 지속해서 포착되는 만큼 세심한 관심과 주의가 필요하다"고 말했다.
/연합뉴스