지니언스 시큐리티 센터(이하 GSC)는 지난 1월 3일 연초부터 한국을 겨냥한 스피어 피싱(Spear Phishing) 공격이 발생했다고 밝히며 분석 보고서를 최근 공개했다.
이번 위협 케이스는 새해 첫날 일부 언론사에 공개된 실제 오피니언 칼럼 내용을 이메일로 전달하는 형태로 진행됐다. 해당 내용에는 새해 인사와 함께 ZIP 압축 파일이 하나 첨부돼 있다.
이 시기는 연휴가 막 끝난 시점으로 여러 기업들이 본격적으로 신년 업무에 돌입하던 때였다.
GSC가 식별한 이번 공격은 평일 주간 시간대에 진행됐고, 평소 알고지낸 지인 행세로 인사하듯 접근을 시도했다.
GSC 관계자에 따르면 “해당 ZIP 파일은 이메일 원문 자체에 첨부된 건 아니고, 보통 파일 크기가 큰 경우 사용되는 대용량 링크로 전달됐다. 실제 공격에 쓰인 압축파일은 2,472 바이트로 용량이 매우 작은 편에 속한다”며 “악성 파일을 첨부할 때 URL 링크 주소로 보내는 이유는 주로 보안 서비스 검사를 불편하게 하거나, 목적에 따라 파일을 교체 또는 제거가 상대적으로 용이한 측면이 있다”고 설명했다.
이어 “최근 국내에서 발생하는 APT 공격들은 파워쉘(PowerShell) 명령을 통해 파일리스(Fileless) 형태로 은밀하게 작동하는 특징을 보이고 있다. 단말에 초기 유입된 악성 파일들은 보통 사전에 탐지 테스트를 거쳐 알려진 보안 제품의 패턴이나 시그니처에서 탐색되지 않도록 만들어진다. 따라서 이런 유형의 위협을 조기에 식별하기 위해 반드시 이상행위 단계를 감지할 수 있어야 한다”고 강조했다.
-상세 분석 보고서: 클릭
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
