기사등록 : 2020-06-19 13:57
[서울=뉴스핌] 정윤영 기자 = 이스트시큐리티는 19일 청와대 관련 파일로 위장한 악성 파일이 발견됐다고 밝혔다.
새롭게 발견된 악성 파일은 윈도 스크립트 파일(Windows Script File) 형태인 WSF 확장자로 제작돼 있으며, 파일명은 'bmail-security-check.wsf' 이다. 또한 윈도 화면보호기(Screen Saver) 파일처럼 위장한 변종 파일인 'bmail-security-check.scr'도 함께 발견됐다.
아울러 이번 악성 파일은 파일명에서도 알 수 있듯이 'bmail' 보안 체크 프로그램으로 위장하고 있다.
이는 청와대가 속칭 블루 하우스(BH, Blue House)로 불리는 것에 비춰 봤을 때, 마치 청와대 보안 이메일 검사처럼 사칭해 관련자를 현혹 후 APT 공격을 수행할 목적으로 제작된 것으로 추정된다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장(이사)은 "발견된 악성파일을 분석한 결과 공격자의 명령 제어(C2) 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착돼 각별한 주의가 필요하다"며 "또한 이 악성 파일은 이스트시큐리티에서 작년 12월 발견한 청와대 상춘재 행사 견적서 사칭 공격 등 특정 정부 후원을 받는 것으로 알려진 사이버 범죄 조직 '김수키(Kimsuky) 그룹'의 공격과 유사성이 매우 높은 것으로 분석됐다"고 설명했다.
현재 이스트시큐리티는 자사 백신 프로그램 '알약'에 이번 악성 파일을 진단명 'Trojan.Agent.218372K'으로 탐지, 차단할 수 있도록 긴급 업데이트를 완료했다. 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제를 가동하고 있다.
yoonge93@newspim.com