세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
하늘에선 미사일, 사이버상에선 악성코드 공격! 북한의 양동작전
  |  입력 : 2017-09-17 22:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미사일 발사한 15일, 한메일 이용한 악성코드 유포 행위 포착
가상화폐 거래소 관련 문서로 위장, 악성파일 심은 한글문서로 공격


[보안뉴스 김경애 기자] 북한이 15일 평양 순안에서 또 다시 탄도미사일을 발사했다. 이에 문재인 대통령은 청와대에서 국가안전보장회의(NSC)를 긴급 소집했으며, 군 당국에는 굳건한 한미 연합방위태세를 바탕으로 북한의 핵·미사일 위협에 실효적으로 대응할 수 있는 단호한 대응방안을 마련하라고 지시했다.

[이미지=iclickart]


유엔 안전보장이사회(안보리)도 북한의 중거리탄도미사일(IRBM) 발사 등 북한 위협에 대응하기 위해 21일 장관급 회의를 개최할 예정이다.

이러한 가운데 북한의 사이버공격 위협 역시 긴장을 풀 수 없는 상황이다. 15일에는 한메일을 이용해 전파된 북한 추정의 침투 프로그램도 포착됐다. 이번에 발견된 악성코드는 한글문서 취약점을 악용해 문서 내부에 심어져 있었으며, 대용량 첨부파일을 다운로드하는 형태로 유포됐다.

▲악성코드가 내장된 가상화폐 거래 관련 문서[이미지=트렌드마이크로 사이트 캡처]


이보다 하루 앞선 14일에는 북한 추정 해커가 정상 문서 파일을 침투에 악용한 정황도 포착됐다. 같은 날에는 가상화폐 거래소를 노리고 세금 파일로 위장해 공격을 시도한 분석결과가 발표됐다. ‘비트코인’과 ‘금융보안표준화’와 같은 문서로 위장한 악성파일의 분석결과가 바로 그것이다.

이와 관련해 지난 14일 트렌드마이크로는 “‘비트코인’과 ‘금융보안표준화’와 같은 문서로 위장한 악성파일은 EPS(Encapsulated PostScript) 취약점이 악용됐다”며 “영향을 받는 시스템에 ‘바로 가기’나 실제 악성파일을 저장하는데 사용되며, 파일을 조작할 수 있는 기능이 있다”고 분석했다.

▲미끼문서로 사용된 ‘국내가상화폐의유형별현황및향후전망.hwp’ 화면[자료=파이어아이]


지난 12일에 이와 유사한 사례를 분석한 파이어아이 측은 “TEMP.Hermit라는 북한 사이버스파이 그룹이 세금관련 문서를 이용하여 국내 가상화폐 서비스를 대상으로 감행한 사이버공격을 포착했다”고 밝혔다.

당시 해커는 EPS와 같은 CVE-2017-0262 취약점을 악용해 PEACHPIT 멀웨어를 전파한 것으로 드러났다. 이 취약점은 사용자가 Microsoft Office 프로그램을 통해 특수하게 조작된 Office 파일을 오픈할 경우 원격 코드 실행이 가능하며, 만약 공격에 실패할 경우 서비스 거부 공격(DoS)이 가능한 것으로 알려졌다.

특히, 파이어아이는 지난 3월 하순경부터 러시아 정부의 지원을 받고 있는 것으로 알려진 APT28, 툴라 APT 해킹 그룹과 금융권을 노리는 해커조직이 마이크로 오피스(Microsoft Office) 취약점을 악용한 특정 타깃의 사이버 공격이 확인됐다고 지난 5월 밝힌 바 있다.

이처럼 북한 추정 해커조직은 올해 들어 가상화폐 관련 사이트를 계속 목표로 삼아 왔다. 금융감독원을 사칭해 악성코드를 심은 ‘환전_해외송금_한도_및_제출서류.hwp’ 파일을 첨부해 스피어피싱 메일을 전송하는가 하면, 가상화폐 브로셔와 세금 관련 문서 등 다양한 미끼문서로 가상화폐 투자자 등 개인을 타깃으로 공격했다.

그러다 최근 중국정부의 가상화폐 규제 발표가 이어지고 한국 역시 가상화폐 규제를 위한 정부의 움직임이 가속화되자, 가상화폐 거래금액 역시 하락세를 보이고 있다. 이와 관련 북한 추적 전문 사이버보안그룹 관계자는 “가상화폐는 북한에서 금전적 이득을 취할 수 있는 중요한 수익모델로 북한 추정의 사이버공격은 지금도 계속되고 있다”며 “가상화폐 거래의 경우 지난 5월 12일 유포된 워너크라이 랜섬웨어 이후 상승세를 이어가다 최근 하락하는 추세”라고 밝혔다.

이러한 가운데 최근 APT 공격에 악용될 수 있는 제로데이 취약점 등이 잇따라 발견되면서 우려의 목소리도 나오고 있다. 물론 해당 취약점을 악용한 사례가 아직까지 발견되지 않았지만, 파급력이 큰 제로데이 취약점은 거의 대부분 APT 공격에 악용된 만큼 가능성이 상당히 높다는 지적이다.

이와 관련 한 보안전문가는 “북한 추정 사이버공격을 살펴보면 국내에서 워드보단 한글문서를 더 많이 사용하다보니 한글문서 취약점을 주로 악용하지만, 특정 타깃을 노린다면 워드 취약점을 이용한 공격도 충분히 가능하다. 실제 워드 문서와 매크로 등을 악용한 공격사례도 있다”며 “MS 등에서 취약점이 발표되면 신속히 보안패치를 적용할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)