[아이티데일리] 파이어아이코리아(지사장 전수홍)는 ‘템프허밋(TEMP.Hermit)’이라 불리는 북한 사이버 스파이 그룹이 세금 관련 문서를 이용해 국내 가상화폐 서비스를 대상으로 감행한 사이버 공격을 포착했다고 12일 밝혔다.

템프허밋은 ‘피치핏(PEACHPIT)’ 멀웨어를 국내 공격 대상에게 전파하기 위해 한글(HWP) 형식의 다양한 세금 관련 미끼문서를 사용했다. 스피어피싱 이메일 및 관련 미끼문서 확인 결과, 파이어아이는 템프허밋 공격자들이 국내의 환전 및 중개사무소와 같은 가상 화폐 서비스 제공업체들을 노렸을 것으로 판단하고 있다.

북한 공격자들이 가상화폐를 어떻게 활용하는지 알려진 바는 없다. 가상화폐는 다른 화폐에 비해 독립적이고 익명으로 거래되므로, 북한에 대한 국제적 제재가 강화되면서 금전적인 목적으로 공격했을 가능성이 높다. 그러나 이번 가상화폐서비스가 피해대상의 일부였는지, 다른 조직도 공격대상에 있었는지에 대해서는 명확하게 밝혀지지 않았다.

금융감독원을 사칭하는 스피어피싱 이메일이 서울에 위치한 가상화폐 중개사무소 관리자에게 보내졌으며, 스피어피싱 이메일에는 ‘환전_해외송금_한도_및_제출서류.hwp’라는 악성 첨부파일이 포함됐다. 파이어아이는 ▲세무조사준비서류.hwp ▲법인(개인)혐의거래보고내역.hwp 및 법인(개인)혐의거래보고내역.hwp ▲납세담보변경요구서.hwp라는 이름의 미끼문서도 확인했다.

관련된 샘플들은 약간씩 다른 기술을 사용했지만, 미끼 메타데이터나 유사 미끼 내용을 기반으로 한 동일한 공격 캠페인의 일부로 추정된다. 가상화폐 브로셔를 사용한 미끼문서는 공격이 가상 화폐 투자에 대한 이해관계나 관심이 있는 개인을 대상으로 이뤄졌음을 나타낸다. ▲2017년5월까지감지된유사수신행위와법률적조치.docx ▲국내가상화폐의유형별현황및향후전망.hwp 등 두 파일은 CVE-2017-0262 취약점을 악용해 피치핏 멀웨어를 전파했다.

전수홍 파이어아이코리아 지사장은 “피치핏을 비롯한 북한 사이버 공격 그룹의 활동은 지속적으로 국내는 물론 해외에서도 큰 위협이 될 전망이지만, 조직들은 점점 고도화 및 지능화 되는 사이버 공격에 대응할 준비가 안 돼 있다”라며, “이 같은 문제를 해결하기 위해 보안 관련 기술은 물론 전문 지식 및 위협 인텔리전스를 확보하는 것이 무엇보다 중요하다”고 말했다.