러시아의 우크라이나 침공이 수개월 째 지속되면서 최근에는 우크라이나 정보보호 당국을 사칭해 피싱 메일을 통한 수법이 확산되면서 사회공학적 사이버 공격이 다시 활개를 치고 있는 것으로 보인다. 한국에서도 카카오 서비스 장애·이태원 참사를 악용한 악성코드에 이어 특정 카카오톡 단체 대화방을 중심으로는 docx 형식의 악성 문서파일이 공유되는 등 주의가 요구되고 있다.

13일 우크라이나 특수통신·정보보호국(SSSCIP)과 침해사고대응팀(CERT-UA)에 따르면 최근 우크라이나 내 악성링크가 포함된 대량의 피싱 메일이 탐지되고 있다. 이메일 전송은 ‘[email protected]’로 발송되고 있으며, SSSCIP를 사칭하고 있다는 점이 특징이다.

CERT-UA는 “링크를 클릭하게 되면 자바스크립트(JavaScript) 코드가 포함된 HTML 파일이 다운로드 되고, 피해자의 컴퓨터에는 PAR 아카이브(achive)가 형성된다”면서 “예를 들면 ‘08.11.2022.rar’과 같은 형태”라고 설명했다.

이번 공격의 배후로는 ‘아마겟돈(Armageddon)’이 지목되고 있다. 아마겟돈은 러시아의 물리적 침공 이후, 왕성한 활동을 보이고 있는 사실상 러시아의 사이버 부대이다. 러시아 연방보안국(FSB)와 연계된 것으로 전해지며 우크라이나 일반인을 대상으로 민감한 주제를 악용한 피싱 공격을 감행하고 있다.

맨디언트에 따르면 올해 2월 말부터 3월까지 'UNC1151'과 'UNC2589'로 명명된 해커집단이 우크라이나 공공기관‧기업에 '일제 사격 시스템 포격 – 어떻게 해야 하는가', '대피 계획' 등의 악성 문서가 첨부된 이메일을 발송했다. 사회적 이슈 혹은 긴급한 내용을 다룬 이메일은 수신자가 열람할 가능성이 높기 때문이다.

해당 유형의 공격은 시스템이 아닌 인간을 노린다. 사회적 관심도가 높은 사안을 악용해 심리를 자극하는 방식이다. 과거에는 문자나 이메일로 수단이 한정됐지만 스마트폰 보급과 소셜미디어(SNS) 활성화로 목표물 접근이 쉬워지면서 효율적인 공격 기법으로 자리잡았다.

일반적으로 이메일에 첨부된 링크를 클릭하거나 파일을 내려받게 되면 악성코드에 감염된다. 이 과정에서 공격자는 빼돌린 개인정보를 이용해 계정 탈취를 시도한다. 다크웹 등에서 이미 유출된 정보를 기반으로 다른 웹사이트에 무작위로 대입해 계정을 훔치기도 한다.

계정 탈취와 개인정보 유출로 끝내지 않고 판매로도 이어진다. 기존 노출된 정보를 조합하거나 지속적인 정보 수집을 통해 크리덴셜(Credential)을 확보한다. 크리덴셜은 특정 시스템에 접근하거나 물리적 공간에 입장하기 위한 코드 혹은 출입증을 뜻한다. 이는 다시 사회공학적 기법을 이용한 공격으로 이어지는 셈이다.

한국에서도 이 같은 유형의 사이버 공격이 연이어 포착되고 있다. 지난달 20일 '내PC 돌보미' 서비스 프로그램으로 위장한 악성코드가 발견됐다. 해당 서비스는 이 운영하는 보안 취약점 점검 무료 서비스다. 악성코드 감염 피해가 발생했다면 국민 누구나 컴퓨터, 스마트폰 등에 대한 점검 서비스를 받을 수 있다.

해당 악성파일은 KISA를 사칭한 도메인을 통해 'kisa-down[.]com/mypc_care.zip' 등의 압축파일 형태로 유포되고 있다. 보안 점검 사이트로 위장한 이유는 앞서 정부 차원에서 해킹 관련 공지를 배포하고, 초기 공격을 차단함에 따라 이용자의 의심을 완화하기 위한 조치로 추정된다.

대북‧외교‧안보 등 100여명의 전문가들이 참여하고 있는 특정 단톡방에서는 docx 형식의 악성파일이 발견됐다. 해당 악성파일은 변종에 따라 'ms-office[.]services'와 'offices.word-template[.]net' 원격지에서 추가 파일을 받아 실행한다. 단톡방에서 파일을 열람할 경우 명령제어 서버에서 다운로드가 실행되고 공격자의 의도에 따라 사용자 기기에 악성코드가 설치될 수 있다.

지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 발견된 바 있다. 공격자는 실제 중앙재난안전대책본부(중대본)가 배포한 이태원 참사 관련 보고서를 모방했다. 당시 공격자가 사용한 명령제어 서버는 'ms-offices[.]com'으로 확인됐다.

악성문서가 이메일 형태가 아닌 메신저 채팅방에서 유포된다는 점에서 각별한 주의가 요구된다. 공격자가 기존 단톡방 참여자의 계정을 탈취해 악성 문서를 공유하고 있다는 점에서 피해가 확대될 가능성이 크기 때문. 이 과정에서 공격자는 또 다른 단톡방 참여자의 계정을 해킹해 공격에 이용하는 방식이다. 보안업계는 북한을 공격 배후로 추정하고 있다.

익명을 요구한 한 보안전문가는 "이태원 참사 관련 악성코드 공격과 이번에 단톡방에서 포착된 공격을 비교했을 때 명령제어 서버 주소 형식이 비슷하다는 점에서 변종 공격으로 보인다"며 "공격자는 대북‧외교‧안보 관련 보고서와 설문지 등으로 위장한 악성 docx 문서를 단톡방에 유포하고 있는 상황"이라고 말했다.