파이어아이(지사장 전수홍 www.fireeye.kr)가 ‘TEMP.Hermit’이라고 불리는 사이버 공격을 포착했다고 12일 밝혔다.

이 공격은 북한 사이버 스파이 그룹이 세금 관련 문서를 이용해 국내 가상 화폐 서비스를 대상으로 감행한 것으로 파이어아이는 추정했다.

‘TEMP.Hermit’은 ‘PEACHPIT’ 멀웨어를 국내 공격 대상에게 전파하기 위해, 국내 세금 마감일을 활용하는 사회 공학적 내용의 캠페인으로 5월말 전 HWP 형식의 다양한 세금 관련 미끼문서를 사용했다.

스피어 피싱 이메일 및 관련 미끼문서 확인 결과, 파이어아이는 ‘TEMP.Hermit’ 공격자들이 국내의 환전 및 중개사무소와 같은 가상 화폐 서비스 제공업체들을 노렸을 것으로 판단하고 있다.

이러한 활동은 가상 통화를 활용해 돈을 송금하거나 가상 화폐 서비스를 직접적으로 침해하려는 의도였을 가능성이 높다고 파이어아이는 전했다.

국제적 제재로 인해 거세진 압력 때문에 북한 공격자들은 금전적 목적으로 공격을 감행해 왔다.

이번 가상 화폐 서비스가 피해 대상의 일부였는지 다른 조직도 공격 대상에 있었는지 명확하게 밝혀지지 않았다고 파이어아이는 덧붙였다.

아울러 파이어아니는 북한 공격자들이 가상 화폐를 어떻게 활용하는지 아직 밝혀진 바가 없다고 밝혔다.

다른 화폐나 중앙은행에 의해 관리되고 추적될 수 있는 통화에 비해 가상 화폐는 비교적 독립적이고 익명으로 거래된다.

국가적 제재가 계속 강화되는 가운데 가상 화폐의 이러한 특징은 북한 공격자들에게 매력적인 매개체로 비춰졌을 가능성이 높다.

이번 공격의 북한 용의자들은 지난 2월말 발생한 비트코인 뉴스 웹사이트의 전략적 웹 침해 사건과 같이 앞서 가상 화폐 사이트를 목표로 삼아왔다.

금융감독원을 사칭하는 스피어 피싱 이메일이 서울에 위치한 가상 화폐 중개사무소 관리자에게 보내졌으며, 스피어피싱 이메일에는 ‘환전_해외송금_한도_및_제출서류.hwp’라는 악성 첨부파일이 포함됐다.

파이어아이는 ▲세무조사 준비서류.hwp ▲법인(개인) 혐의거래 보고내역.hwp 및 법인(개인)혐의거래보고내역.hwp ▲납세담보 변경요구서.hwp 등 미끼 문서도 확인했다고 밝혔다. <그림1 ‘세무조사준비서류.hwp’ 참조>

▲ 그림1 ‘세무조사준비서류.hwp’

관련된 샘플들은 약간씩 다른 기술을 사용했지만 미끼 메타데이터나 유사 미끼 내용을 기반으로 한 동일한 공격 캠페인의 일부로 추정된다.

가상 화폐 브로셔를 사용한 미끼문서는 공격이 가상 화폐 투자에 대한 이해관계나 관심이 있는 개인을 대상으로 이뤄졌음을 나타내고 있다.

아울러 ▲2017년 5월까지 감지된 유사 수신행위와 법률적 조치.docx ▲국내 가상화폐의 유형별현황 및 향후전망.hwp 등 파일이 CVE-2017-0262 취약점을 악용, PEACHPIT 멀웨어를 전파했다고 파이어아이는 덧붙였다. <그림2 ‘미끼 문서로 사용된 “국내 가상화폐의 유형별 현황 및 향후전망.hwp” 내용’ 참조>

▲ 그림2 ‘미끼 문서로 사용된 “국내 가상화폐의 유형별 현황 및 향후전망.hwp” 내용’

전수홍 파이어아이 코리아 지사장은 “PEACHIPIT을 비롯한 북한 사이버 공격 그룹의 활동은 지속적으로 국내는 물론 해외에서도 큰 위협이 될 것”이라고 말했다.

<김동기 기자>kdk@bikorea.net