/사진=이스트시큐리티
/사진=이스트시큐리티

국내 특정 가상화폐 거래소 직원을 대상으로 한 해킹시도가 이어지고 있다.
보안업체 이스트시큐리티 시큐리티대응센터(ESRC)는 19일 “이메일 기반의 지능형지속위협(APT) 공격이 이어지고 있다”며 가상화폐 거래소 이용자에게 주의를 당부했다.

‘무비코인’으로 명명된 이번 공격 캠페인은 지난 6월부터 국내에서 지속 포착되고 있다. 이번에 발견된 APT는 공격대상의 호기심을 끌 수 있는 스피어 피싱 형태를 취한다. 이를테면 ▲투자계약서 ▲외주직원 신상명세서 ▲에어컨 유지보수 조건 ▲시스템 포팅계약서 ▲현장프로젝트 결과발표 등 다양한 이름으로 위장한다.


ESRC는 공격에 사용된 파일이 모두 HWP 확장자를 사용하며 악성 문서파일이 모두 같은 취약점을 노리는 공통점을 발견했다. ESRC가 사례로 든 파일은 18일 발견된 악성코드로 경찰대학 입시전문 사이트의 문제 자료로 위장했다.

ESRC는 이번 해킹의 배후로 라자루스를 지목했다. 라자루스는 워너크라이 랜섬웨어를 배포한 것으로 알려진 해커집단으로 2009년 7.7 디도스 공격, 2014년 미국 소니픽처스 해킹, 2017년 워너크라이 랜섬웨어 배포 등으로 전세계의 시선을 끌었다.

문종현 EXRC센터장 이사는 “APT 공격은 기밀정보를 탈취하기 위한 고도화한 공격 수법”이라며 “한컴오피스 제품군을 최신 버전으로 업데이트하면 취약점을 예방할 수 있다”고 말했다.