보안업체 이스트시큐리티는 2014년 한국수력원자력을 해킹한 조직이 최근 다양한 APT(지능형지속위협) 공격을 수행하고 있다고 30일 밝혔다.
이스트시큐리티에 따르면 문서파일 내부에 포함된 쉘코드는 복호화 과정을 거쳐 한국의 특정 웹사이트(rentcartoday.com)와 통신을 시도한다. 해당 명령제어(C2) 서버와 통신에 성공하면 추가적인 악성코드(Payload)를 내려받아 실행한다. 추가 악성코드에 노출될 경우 컴퓨터 자료 유출, 원격제어 등 피해로 이어질 수 있다.
'김수키(Kimsuky)' 등으로 알려진 이 조직은 북한 배후설이 제기되고 있으며, 안보·외교·통일 관련 분야의 정보를 노리는 것으로 전해졌다.
이스트시큐리티는 프로그램 이용자들이 한컴 오피스 제품을 최신 버전으로 업데이트해 위협요소를 사전에 제거해야 한다고 당부했다.
이스트시큐리티는 최신 APT 공격을 '작전명 블랙 리무진'으로 명명하고, 다양한 침해지표(IoC) 등을 별도 제공할 예정이다.