국내 항공우주 분야 연구기관을 대상으로 한 사이버 표적 공격이 발견됐다. 이번 공격은 성공률을 높이기 위해 현직 기자 이름을 사칭한 것으로 드러났다.
22일 국내 보안업체인 잉카인터넷에 따르면 지난 16일 오전 9시 정각 항공우주 관련 국책 연구기관에 보내진 이메일에서 해킹 시도가 발견됐다. 이메일에 첨부된 한글(hwp) 문서에 악성코드가 담긴 것으로 한글 프로그램의 취약점을 이용해 대상자 PC의 감염을 노리는 방식이다. 해당 이메일은 `印 ICBM 로켓과 韓 우주항공기술`이란 제목으로 전송됐으며 첨부된 한글 파일 또한 동일한 이름으로 돼 있다.
이 문서파일을 열면 인도의 대륙간탄도(ICBM) 미사일에 관한 글이 실려 있다. 정상적인 문서인 것처럼 보이지만 이용자 몰래 `cleanmgr.exe`란 이름의 실행형 악성파일이 설치된다. 이 악성파일은 지난 12월 12일 제작된 것으로 확인됐고, 인도의 특정 명령제어(C&C) 서버에 접속하는 것으로 나타났다. 이는 공격자가 정보 유출이나 시스템 파괴와 같이 추가 명령을 내릴 수 있다는 뜻이다.
특히 이번 공격은 국내 모 언론사의 기자 명의를 도용한 것으로 나타났다. 기자가 보낸 것처럼 이메일 발신자를 조작하는 건 이례적인 일이다. 유사 수법이 확산될 가능성이 높아 보여 각별한 주의가 요구된다.
현재 구체적인 피해 여부는 확인되지 않았지만 국내 항공우주 분야의 연구 기밀을 노린 사이버 스파이 활동일 가능성이 큰 것으로 분석됐다.
잉카인터넷 측은 “표적 공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다”며 “감염 후에는 개인정보 탈취 및 원격제어 등 다양한 보안 위협에 노출될 수 있기 때문에 이메일 첨부로 한글 파일을 수신할 경우 악성 여부를 의심하고 신뢰하기 어려운 경우 열어보지 않는 것이 안전하다”고 강조했다.
윤건일기자 benyun@etnews.com
