`청와대 보안 메일 사칭` 악성 파일 주의보

입력: 2020-06-19 10:10 백인철 기자

폰트

악성 파일 실행 시 나타나는 메시지 창[이스트시큐리티 제공]

이스트시큐리티는 19일 새벽 청와대 관련 파일로 위장한 악성 파일을 발견했다.

이 악성 파일은 윈도 스크립트 파일 형태인 WSF 확장자로 제작돼 있다.

이날 새벽 제작된 이 악성 파일의 이름은 'bmail-security-check.wsf'로, 실행하면 '보안메일 현시에 안전합니다'라는 문구가 뜬다.

회사 측은 "'bmail' 보안 체크 프로그램으로 위장하고 있다"며 "청와대 보안 이메일 검사를 사칭해 관련자를 현혹한 다음 지능형 지속위협(APT) 공격을 수행할 목적으로 제작된 것으로 추정된다"고 분석했다.

또 윈도 화면보호기 파일로 위장한 변종 'bmail-security-check.scr'도 함께 발견됐다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC)장(이사)은 "발견된 악성파일을 분석한 결과 공격자의 명령 제어(C2) 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착돼 각별한 주의가 필요하다"고 말했다.

이어 "이 악성 파일은 이스트시큐리티에서 진나해 12월 발견한 청와대 상춘재 행사 견적서 사칭 공격 등 특정 정부 후원을 받는 것으로 알려진 사이버 범죄 조직 '김수키(Kimsuky) 그룹'의 공격과 유사성이 매우 높은 것으로 분석됐다"고 설명했다.

김수키는 북한과 연계설이 제기되는 해킹조직으로, 2014년 한국수력원자력 해킹 사건에 이어 작년 통일부와 경찰청, 암호화폐 거래소 등 지속적인 사이버 공격을 감행해왔다는 의혹을 받고 있다.

현재 이스트시큐리티는 자사 백신 프로그램 알약으로 탐지, 차단할 수 있도록 긴급 업데이트를 완료했다.

백인철기자 chaos@dt.co.kr