UPDATE : 2018.12.15 14:07
IT가상화폐
금융감독원 공문서 사칭 암호화폐 거래소 APT 공격암호화폐 거래소 구직 문서, 금융감독원 조사통지문서 등 위장 공격
박명기 기자  |  pnet21@gametoc.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2018.08.08  13:38:22
트위터 페이스북 미투데이 요즘 네이버 구글 msn
   
[16바이트 키로 암호화된 악성 포스트스크립트 화면]

금융감독원 공문서를 사칭해 암호화폐(가상화폐) 거래소 관계자를 노리는 APT 공격이 연이어 발견되고 있다

보안 전문 기업 이스트시큐리티(대표 정상원)는 한국 암호화폐 거래소 관계자를 노린 금융감독원 명의 사칭 APT(지능형지속위협) 공격 정황이 연이어 발견되고 있어, 각별한 주의가 필요하다고 8일 밝혔다.

이번 공격은 주공격 대상인 암호화폐 거래소 관계자가 첨부 파일을 열람하도록 유도하기 위해, 유사수신행위 법률 위반 통지문 등 금융감독원이 발송한 것처럼 보이는 다양한 내용으로 작성되어 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석결과 공격에 사용된 악성 문서파일은 2018년 8월 6일 오전 11시 31분경에 제작되었다. 문서 내용에 고발인과 피고발인 등 특정인의 신상정보와 관계에 대한 내용을 구체적으로 기재해 공격 대상자가 보다 쉽게 신뢰할 수 있도록 정교하게 꾸며져 있다.

   
[금융감독원 유사수신행위 위반통보로 위장한 문서화면]

또한 악성 문서파일의 스트림 내부는 16바이트의 XOR 코드로 암호화되어 있다. 공격 대상자가 문서를 열람하면 셸코드(Shellcode) 작동에 의해 미국에 소재한 특정 호스트로 접속을 시도한다. 이후 어도비 플래시(SWF) 파일로 위장한 악성 DLL 파일이 공격 대상자의 PC에 설치되고, 해커(공격자)의 추가 명령을 수행하는 것으로 분석되었다.

특히 이번 공격에서 사용된 ‘유사수신행위 위반 통지서’ 위장 악성파일 공격 방식은 지난 2017년 6월경 비슷한 사례가 보고된 바 있다. 당시 공격에서 사용된 악성 문서를 통해 설치된 악성 파일은 2014년 미국에서 발생한 주요 보안 침해사고인 소니픽처스 내부 공격에 사용된 악성코드 계열과 동일한 코드구조를 가지고 있어 더욱 주의가 요구된다.

이 밖에도 ESRC 위협 인텔리전스 분석을 통해 이번 공격에 사용된 악성코드가 2009년부터 특정 정부 지원을 받는 것으로 추정되고 있는 해커가 사용하는 APT 공격 시리즈와 코드 유사성이 매우 높은 것으로 나타났다.

이러한 공격 방식과 코드의 유사성 등에 비추어 볼 때 이번 공격 위협은 국내에서 지속적으로 발생하고 있는 각종 침해사고와 무관하지 않으며, 특히 올해 초부터 수차례 위협 주의보를 내렸던 ▲’오퍼레이션 아라비안 나이트(Arabian Night)’, ▲’오퍼레이션 스타크루저(Operation Starcruiser)’ 등과 연계된 작전으로 판단된다.

현재 ESRC에서는 한국인터넷진흥원(KISA)과 협력해 해당 악성 프로그램의 명령제어서버(C2) 정보를 신속하게 공유하고, 국내에서의 접속을 차단한 상태이다.

   
[2017년 발견됐던 DOC 악성문서와 소니픽쳐스 공격 악성파일 계열 코드 비교]

문종현 ESRC 이사는 “최근까지도 한국의 암호화폐 거래 관계자를 겨냥한 맞춤형 스피어 피싱(Spear Phishing) 공격 정황이 지속적으로 포착되고 있으며, 금감원 등 공문서 사칭뿐만 아니라 암호화폐지갑 개발자나 금융 관련 콘퍼런스 문서 내용까지 폭넓게 악용되는 만큼 보다 세심한 관심과 주의가 필요하다”라고 밝히며, “특히 이번 공격은 기존에 특정 국가가 배후에 있는 것으로 알려진 정부기반 위협그룹의 공격 기법과 유사도가 높아, 그 어느 때보다 민관이 협력해 위협 인텔리전스 보안강화에 힘써야 할 시기로 보인다”고 강조했다.

게임톡 박명기 기자 pnet21@gametoc.co.kr

< 저작권자 © 게임톡 무단전재 및 재배포금지 >

[관련기사]

아이콘박명기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요! 자동등록방지 이미지  
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
가장 많이 본 기사
1
“디아블로4, MMORPG로 개발…2020년 이후 나온다”
2
“블리자드, 열정페이 강요…마이크 모하임 내쫓겼다” 충격 주장
3
中 넷이즈 “디아블로 이모탈, 2019년 전세계 출시”
4
한빛드론 광폭행보, DJI 산업용 출시-한국 총판계약
5
엔씨소프트, ‘리니지 리마스터’ 공개 임박…게임업계 ‘촉각’
6
‘불법만화 성지’ 마루마루, 사이트 폐쇄 ‘박사장 검거되나’
7
중국 “온라인게임 9종 강제종료”…게임업계 파장 예고
8
‘카트라이더’, 동시접속자 259% 증가…겨울방학 흥행 예고
9
[류기덕의 필소굿] 프레디 머큐리, 시대를 초월한 천재
10
“삼시세끼 모두 공짜”…펄어비스 ‘펄식당’ 가봤더니
깨톡

[서동민 기자의 깨톡] ‘창세기전2’, 첫사랑 다시 만나기

[서동민 기자의 깨톡] ‘창세기전2’, 첫사랑 다시 만나기
‘창세기전’은 한국 게임역사에서 큰 족적을 남긴 게임 시리즈 중 하나다. 수입산 게임이 대부분...
노답캐릭

[백민재의 노답캐릭] 디아블로, 블리즈컨, 그리고 후폭풍

[백민재의 노답캐릭] 디아블로, 블리즈컨, 그리고 후폭풍
매년 블리즈컨이 열리는 시기에 미국 애너하임 컨벤션센터의 굿즈 스토어는 언제나 인산인해를 이룬...
게임별곡

[게임별곡] 크리스마스 솔로들의 벗 ‘나 홀로 집에’

[게임별곡] 크리스마스 솔로들의 벗 ‘나 홀로 집에’
게임별곡 시즌2 [크리스마스 특집]매년 크리스마스가 되면 디스크 박스에서 꺼내 먼지를 털어내며...
외부칼럼

[대니한 칼럼] 다시 스페인...'알함브라 궁전의 추억’

[대니한 칼럼] 다시 스페인...'알함브라 궁전의 추억’
지난 칼럼을 통해 스페인을 방문하는 한국인의 숫자가 7년 만에 10배로 성장 하여 현재 연 5...
신문사소개기사제보광고문의불편신고개인정보취급방침청소년정보취급방침이메일무단수집거부
rss home back top
한경닷컴게임톡 게임톡(주)| 등록번호:서울 아 01448 | 등록일자 2010.12.10. | 제호:게임톡 | 발행·편집인 : 박명기
주소: [06621] 서울시 서초구 강남대로 365 도씨에빛 1차 1103호 |
발행일자 2011.10.27.| 대표전화 : 070)7717-3264 | 청소년보호책임자 : 백민재
Copyright © 2011 게임톡. All rights reserved. mail to webmaster@gametoc.co.kr
ndsoft