[디지털데일리 이종현기자] 19일 새벽 청와대 관련 파일로 위장한 악성파일이 발견됐다. 해당 악성 파일의 배후로 지목된 것은 북한이다.

보안 기업 이스트시큐리티는 청와대 보안 이메일 파일을 사칭한 지능형지속위협(APT) 공격용 악성 파일을 다수 발견했다.

새롭게 발견된 악성 파일은 윈도 스크립트 파일 형태인 ‘WSF’ 확장자로 제작됐다. 파일명은 ‘bmail-security-check.wsf’다. 윈도 화면보호기 파일처럼 위장한 변종 파일인 ‘bmail-security.check.scr’도 함께 발견됐다.


이들 파일은 청와대 로고 이미지 아이콘을 가지고 있다. 또 청와대의 속칭인 ‘블루 하우스(BH)’를 연상케 하는 ‘bmail’이라는 파일명을 사용해 청와대의 보안 체크 프로그램으로 위장한 것으로 보인다는 것이 이스트시큐리티 측 설명이다.

해당 악성 파일을 실행하면 ‘보안메일 현시에 안전합니다’라는 문구의 메시지 창이 출력된다. 이스트시큐리티는 ‘현시’라는 흔히 쓰이지 않는 표현을 사용한 것으로 보아 악성 파일이 내국인에 의해 제작된 것은 아닌 것츠로 추정된다고 전했다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “발견된 악성 파일을 분석한 결과 공격자의 명령제어(C2) 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착됐다”며 “관련자의 각별한 주의가 필요하다”고 말했다.

또 그는 “이 악성 파일은 북한의 후원을 받는 것으로 알려진 사이버 범죄 조직 김수키 그룹의 공격과 유사성을 보인다”며 “김수키 그룹은 지난해 12월 청와대 상춘재 행사 견적서 사칭 공격에도 이와 유사한 악성 파일을 배포했다”고 밝혔다.

<이종현 기자>bell@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
삼성, '서울 E-프리'서 전장기술·부산엑스포… 삼성, '서울 E-프리'서 전장기술·부산엑스포…
  • 삼성, '서울 E-프리'서 전장기술·부산엑스포…
  • 타임스스퀘어 수놓은 BTS-갤럭시Z플립 콜라…
  • [갤럭시언팩] Z폴드4·플립4, '스냅드래곤…
  • KT, 광화문 리모델링 사옥 통해 '미디어파사…