[CCTV뉴스=이승윤 기자] 시스코는 보안 인텔리전스 그룹 탈로스(Talos)가 '그룹(Group) 123' 해커그룹이 지난 한 해 동안 우리나라를 타깃으로 진행된 공격을 분석한 보고서를 17일 발표했다.
시스코 보고서에 따르면 2017년부터 한국을 타깃으로 한 ▲골든 타임 ▲사악한 새해 ▲프리밀크(FreeMilk) ▲행복하십니까 ▲북한 인권 ▲사악한 새해 등 6번에 공격을 시도했다고 분석했다.
골든 타임, 사악한 새해, 북한 인권 캠페인은 모두 한국 사용자를 공격 대상으로 삼았다. 공격자는 한컴오피스 사용해 만든 악성코드가 첨부된 문서를 스피어 피싱 메일을 통해 유포했다.
행복하십니까 캠페인은 ‘그룹123’은 디스크 와이퍼를 구축했다. 감염된 원격시스템에 접근할 수 있는 권한을 획득해 디바이스의 첫 번째 섹터를 삭제하는 목적이다. 와이퍼는 'ROKRAT' 모듈로 확인됐다.
프리밀크 캠페인 공격은 한국 금융기관뿐만 아니라 전 세계 금융기관을 대상으로 공격을 진행했다. 이번 공격에는 한컴 문서가 아닌 마이크로소프트 오피스 문서를 사용했다.
골든 타임 캠페인은 이메일 샘플을 활용해 공격자가 사용자를 '통일·북한 학술대회' 관련 패널로 유도했다. 발신자 계정은 'kgf2016@yonsei.ac.kr'로 '한반도국제포럼'이라는 학술대회 담당자 이메일이다. 이메일 헤더 분석 결과 이 이메일은 연세대학교 네트워크와 연관된 IP를 사용하는 SMTP 서버에서 전송된 것으로 파악됐다.
시스코는 그룹 123의 공격이 작년 초 사악한 새해 캠페인을 시작됐다고 분석했다. 공격자는 한국 통일부에서 이메일을 보낸 것처럼 가장해 피해자를 속이려 했으며, 소수에게 악성첨부 파일을 포함한 스피어 피싱 메일을 보냈다.
2018년 1월 2일 발생한 사악한 새해 2018 캠페인도 작년 공격 방식과 동일하다. HWP 문서를 활용한 북한 지도자의 2018년 신년사를 분석한 내용을 통해 공격을 시도했다.
시스코 탈로스는 "공격 조직은 한국어를 자연스럽게 사용하고 지역 특성에 맞춰 공격한다"며 "공격 대상이 정보, 문서, 이메일을 합법적이라 여기도록 유도하며, 상당히 높은 수준의 한국 관련 지식을 보유했다"고 분석했다.
이어 “Group 123은 당분간 사라지지 않고 끊임없이 진화하며 앞으로도 활발한 활동을 펼칠 것”이라고 덧붙였다.
