[사이버위협 인텔리전스]시스코 탈로스 '그룹123 한국 표적 공격 수행'

시스코는 한국을 표적으로 한 '그룹123'이 끊임없이 진화하며 활발한 공격을 수행한다고 밝혔다.

Photo Image
폴 하스까니에 시스코 탈로스 연구원

폴 하스까니에 탈로스 연구원은 지난 1년간 한국을 표적한 공격을 발표했다. 그는 지난해부터 올해까지 '그룹 123'이 △골든 타임 △사악한 새해 △프리밀크 △행복하십니까 △북한 인권 △사악한 새해 2018 등 여섯가지 공격을 감행했다고 밝혔다. 골든타임, 사악한 새해, 북한 인권 공격은 모두 한국 사용자를 특정 표적으로 삼았다. 공격자는 한컴오피스 제품군을 이용해 만든 악성 HWP 문서와 결합된 스피어 피싱 이메일을 사용했다.

프리밀크 공격은 한국과 세계 금융기관이 대상이다. 이때는 마이크로소프트 오피스 문서를 사용했다. 행복하십니까 공격에서는 디스크 와이퍼를 썼다. 감염된 원격 시스템에 대한 접근 권한을 획득해 디바이스의 첫 번째 섹터를 지웠다. 골든타임 공격은 국내 대학을 장악한 후 악성 이메일을 보냈다.

그룹123은 지난해 초 한국 통일부로 가장한 악성 이메일을 보냈다. 올해 역시 지난해와 동일하게 HWP 악성문서를 이용했다.

Photo Image
그룹 123의 한국 공격 타임라인.

폴 하스까니에 연구원은 “그룹 123은 HWP와 MS 문서를 이용해 한국과 세계를 대상으로 공격한다”면서 “합법적 웹사이트와 클라우드 플랫폼으로 감염된 시스템과 통신한다”고 설명했다. 그는 “이들이 한국과 관련해 높은 수준 지식을 보유했다”고 덧붙였다.

시스코 탈로스(Talos)는 250명 이상 보안 전문가, 데이터 과학자, 화이트 해커로 구성된 인텔리전스 그룹이다. 1년 365일 쉼 없이 운영되며, 하루 200억개 공격, 1년에 7경 2000조개 공격을 막는다. 구글은 하루에 35억개 검색을 수행한다. 탈로스는 구글 검색의 6배에 달하는 규모를 처리한다.

Photo Image

김인순 보안 전문기자 insoon@etnews.com


브랜드 뉴스룸