check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

평창 올림픽 겨냥한 악성 이메일 기승

김형우 기자 jywoo@dailysecu.com 2018년 01월 09일 화요일

20180108172900144.jpg
▲ 출처=위키미디어 커먼스
보안 회사인 맥아피 지능형위협연구소(McAfee Advanced Threat Research) 연구진이 다가오는 평창 동계 올림픽 관련 조직을 대상으로 한 악의적인 마이크로소프트 워드 문서를 발견했다.

'농림부와 평창 동계 올림픽 조직위'라는 제목의 전자 메일에 첨부된 이 파일은 평창 하키 운영 및 여러 한국 기업을 관리하기 위해 임시 직원을 채용하는 데 사용된 전자 메일 주소로 보내졌다고 뉴스 매체 버즈피드가 보도했다.

버즈피드 사이버 보안 특파원 케빈 콜리어는 그 이후 악성 전자 메일이 스키 리조트, 인근 공항 및 정부 공무원을 포함한 최소한 50개의 한국 이메일로 전송됐다고 전했다.

해당 워드 문서를 열면 이미지가 등장한다. 그리고 윈도우 파워셸(PowerShell) 스크립트가 시작돼 서버로 연결된다.

맥아피의 선임 연구원 라이언 셔스토비토프는 "현재로서는 공격자가 올림픽에 관한 정보를 수집하기 위해 이런 행동을 벌인 것으로 보인다. 어떤 간첩 활동이든 첫 단계에서는 큰 그물을 던지고 누가 걸리는지 정찰하는 단계가 필요하다"고 설명했다.

이 악의적인 전자 메일은 평창에서 올림픽을 대비해 테러 방지 훈련을 실시한 국가대테러센터에서 온 것처럼 위조됐다. 맥아피의 분석에 따르면이 이메일은 싱가포르의 IP 주소에서 나온 것으로 밝혀졌다. 공격자는 인보크PS이미지(Invoke-PSImage)라는 새로 출시된 오픈 소스 도구를 사용해 이미지에 파워셸 스크립트를 포함시켰다.

맥아피의 보고서에 따르면 이 기술은 사이버 공격에 자주 사용되는 방법이지만 한국을 대상으로 사용된 사실이 밝혀진 것은 이번이 처음이다.

외교 관계위원회의 디지털 및 사이버 프로그램 이사 애덤 시걸은 어떤 나라든 공격의 배후일 수 있다고 지적했다. 2018년 평창 올림픽에 출전이 금지된 나라는 북한, 중국, 러시아 등이다.

시걸은 북한이 남한에서 어떤 일이 벌어지고 있는지 정보를 얻고 대응책을 찾기 위해 사이버 공격을 시도했을 수 있고, 혹은 미국이 북한을 압박하기 위해 이런 일을 했을 수도 있고, 중국이 정보를 얻기 위해, 러시아가 도핑 관련 기관 및 스포츠 인프라를 공격하기 위해 이런 일을 벌였을 수 있다고 덧붙였다.

맥아피는 앞으로 올림픽 관련 공격이 더 증가할 것으로 예상되며 다양한 방법으로 희생자가 훼손된 문서를 열도록 유도할 것이라고 경고했다.


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록