금감원 사칭 악성 이메일, 가상화폐 거래소 노려

입력 2018.08.08 15:08

국내 암호화폐(가상화폐) 거래소 관계자를 대상으로 한 지능형 지속 위협(APT) 공격 시도 정황이 연이어 발견되고 있어 주의가 요구된다. 해커는 금융감독원 명의를 사칭한 것으로 나타났다.

금융감독원 유사수신행위 위반통보로 위장한 문서화면. / 이스트시큐리티 제공
8일 이스트시큐리티에 따르면, 최근 유사수신행위 법률 위반 통지문 등 금융감독원이 발송한 것처럼 보이는 이메일이 가상화폐 거래소 관계자를 대상으로 유포되고 있는 것으로 알려졌다.

이메일에 첨부된 악성 문서파일은 2018년 8월 6일 오전 11시 31분에 제작됐으며, 문서 내용에 고발인과 피고발인 등 특정인의 신상 정보와 관계에 대한 내용을 구체적으로 기재했다. 공격 대상이 보다 쉽게 속을 수 있도록 정교하게 만들어진 문서다.

공격 대상자가 문서를 열면 내부 쉘 코드가 작동해 미국 소재의 특정 호스트로 접속을 시도한다. 이후 어도비 플래시 파일(SWF)로 위장한 악성 동적 연결 라이브러리 파일(DLL)이 공격 대상자의 PC에 설치되고, 공격자의 추가 명령을 수행하게 된다.

이러한 공격 방식은 2017년 6월에도 비슷한 사례가 보고된 바 있다. 당시 사용된 악성 파일은 2014년 미국에서 발생한 소니픽처스 내부 공격에 사용된 악성코드 계열과 같은 코드 구조를 띠고 있어 더욱 주의가 요구된다는 게 회사 측 설명이다.

이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해 해당 악성 프로그램의 명령 제어 서버(C&C) 정보를 신속하게 공유하고, 국내에서의 접속을 차단했다고 밝혔다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 “이번 공격은 기존에 특정 국가가 배후에 있는 것으로 알려진 정부 기반 위협 그룹의 공격 기법과 유사도가 높아 그 어느 때보다 민관이 협력해 위협 인텔리전스 보안 강화에 힘써야 할 시기로 보인다"고 말했다.


키워드