최근 북한과 관련된 사이버 스파이 그룹이 에너지 및 항공우주 산업을 대상으로 한 새로운 사이버 공격을 감행하고 있습니다. 이들은 구직 관련 피싱을 활용하여 ‘미스트펜(MISTPEN)’이라는 악성 코드를 배포하고 있다는 것이 보안 전문가들에 의해 밝혀졌습니다.
사이버 공격의 배경
구글 소속의 사이버 보안 회사인 만디안트(Mandiant)는 이 사이버 공격 집단을 UNC2970이라는 이름으로 추적하고 있으며, 이는 템프.Hermit라는 위협 그룹과 관련이 있습니다. 이들 해커는 2013년부터 정부 및 방위, 통신, 금융 기관을 타겟으로 해온 그룹입니다. 이들은 북한의 정보를 수집하기 위해 작전을 펼치고 있습니다.
공격 방식과 운영 전략
UNC2970의 공격은 구직 사이트에 올려진 직무 소개서와 같은 신뢰할 수 있는 척도를 이용하여 피싱 메일을 보내는 방식으로 진행됩니다. 이들은 고위직을 겨냥해 직무 설명을 복사하고 수정하여 신뢰를 구축한 후 공격을 감행합니다. 특히 고위급 직원의 기밀 정보에 접근하려는 의도가 뚜렷합니다.
- 작전명: 꿈의 직업(Operation Dream Job)
- 주요 방법: 이메일 및 WhatsApp을 통해 피해자와 신뢰를 구축한 후 악성 ZIP 파일을 전송
ZIP 파일 내에는 유명한 PDF 리더인 Sumatra PDF의 트로잔 버전이 포함되어 있어, 이 파일을 통해 미스트펜 악성코드가 실행됩니다.
미스트펜 악성코드의 작동 방식
미스트펜은 메모장++(Notepad++)의 플러그인을 트로잔화한 형태입니다. 이 악성코드는 C2 서버에서 다운로드하여 실행 가능한 파일을 가져올 수 있으며, HTTP 통신을 사용하여 활동합니다. 초기 샘플은 보안 분석을 피하기 위해 네트워크 연결 체크를 추가하는 등 점차 개선되고 있습니다.
- 부트로더: BURNBOOK이라는 이름의 C/C++ 실행 프로그램을 사용하여 미스트펜을 실행
- 악성 DLL 파일: ‘wtsapi32.dll’이 미스트펜 백도어를 활성화
Mandiant는 이 공격자들이 과거에도 Sumatra PDF 및 기타 오픈소스 소프트웨어를 악용해온 사례가 documented 되어 있다고 밝혔습니다.
결론과 보안 대책
현재 사이버 보안 전문가들은 이들 해커들에게 피해를 입지 않기 위해 각별한 주의를 기울여야 합니다. 여러 기관에서는 취약점 분석 및 보안 강화 작업을 지속적으로 진행해야 하며, 직원들에 대한 보안 교육도 필수적입니다.
이와 같은 위협을 피하기 위한 최선의 방법은 출처가 불분명한 파일을 열지 않는 것이며, 이메일에서 제공하는 링크나 첨부파일에 대한 경계를 늦추지 않아야 합니다.