세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
하늘에선 미사일, 사이버상에선 악성코드 공격! 북한의 양동작전
  |  입력 : 2017-09-17 22:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미사일 발사한 15일, 한메일 이용한 악성코드 유포 행위 포착
가상화폐 거래소 관련 문서로 위장, 악성파일 심은 한글문서로 공격


[보안뉴스 김경애 기자] 북한이 15일 평양 순안에서 또 다시 탄도미사일을 발사했다. 이에 문재인 대통령은 청와대에서 국가안전보장회의(NSC)를 긴급 소집했으며, 군 당국에는 굳건한 한미 연합방위태세를 바탕으로 북한의 핵·미사일 위협에 실효적으로 대응할 수 있는 단호한 대응방안을 마련하라고 지시했다.

[이미지=iclickart]


유엔 안전보장이사회(안보리)도 북한의 중거리탄도미사일(IRBM) 발사 등 북한 위협에 대응하기 위해 21일 장관급 회의를 개최할 예정이다.

이러한 가운데 북한의 사이버공격 위협 역시 긴장을 풀 수 없는 상황이다. 15일에는 한메일을 이용해 전파된 북한 추정의 침투 프로그램도 포착됐다. 이번에 발견된 악성코드는 한글문서 취약점을 악용해 문서 내부에 심어져 있었으며, 대용량 첨부파일을 다운로드하는 형태로 유포됐다.

▲악성코드가 내장된 가상화폐 거래 관련 문서[이미지=트렌드마이크로 사이트 캡처]


이보다 하루 앞선 14일에는 북한 추정 해커가 정상 문서 파일을 침투에 악용한 정황도 포착됐다. 같은 날에는 가상화폐 거래소를 노리고 세금 파일로 위장해 공격을 시도한 분석결과가 발표됐다. ‘비트코인’과 ‘금융보안표준화’와 같은 문서로 위장한 악성파일의 분석결과가 바로 그것이다.

이와 관련해 지난 14일 트렌드마이크로는 “‘비트코인’과 ‘금융보안표준화’와 같은 문서로 위장한 악성파일은 EPS(Encapsulated PostScript) 취약점이 악용됐다”며 “영향을 받는 시스템에 ‘바로 가기’나 실제 악성파일을 저장하는데 사용되며, 파일을 조작할 수 있는 기능이 있다”고 분석했다.

▲미끼문서로 사용된 ‘국내가상화폐의유형별현황및향후전망.hwp’ 화면[자료=파이어아이]


지난 12일에 이와 유사한 사례를 분석한 파이어아이 측은 “TEMP.Hermit라는 북한 사이버스파이 그룹이 세금관련 문서를 이용하여 국내 가상화폐 서비스를 대상으로 감행한 사이버공격을 포착했다”고 밝혔다.

당시 해커는 EPS와 같은 CVE-2017-0262 취약점을 악용해 PEACHPIT 멀웨어를 전파한 것으로 드러났다. 이 취약점은 사용자가 Microsoft Office 프로그램을 통해 특수하게 조작된 Office 파일을 오픈할 경우 원격 코드 실행이 가능하며, 만약 공격에 실패할 경우 서비스 거부 공격(DoS)이 가능한 것으로 알려졌다.

특히, 파이어아이는 지난 3월 하순경부터 러시아 정부의 지원을 받고 있는 것으로 알려진 APT28, 툴라 APT 해킹 그룹과 금융권을 노리는 해커조직이 마이크로 오피스(Microsoft Office) 취약점을 악용한 특정 타깃의 사이버 공격이 확인됐다고 지난 5월 밝힌 바 있다.

이처럼 북한 추정 해커조직은 올해 들어 가상화폐 관련 사이트를 계속 목표로 삼아 왔다. 금융감독원을 사칭해 악성코드를 심은 ‘환전_해외송금_한도_및_제출서류.hwp’ 파일을 첨부해 스피어피싱 메일을 전송하는가 하면, 가상화폐 브로셔와 세금 관련 문서 등 다양한 미끼문서로 가상화폐 투자자 등 개인을 타깃으로 공격했다.

그러다 최근 중국정부의 가상화폐 규제 발표가 이어지고 한국 역시 가상화폐 규제를 위한 정부의 움직임이 가속화되자, 가상화폐 거래금액 역시 하락세를 보이고 있다. 이와 관련 북한 추적 전문 사이버보안그룹 관계자는 “가상화폐는 북한에서 금전적 이득을 취할 수 있는 중요한 수익모델로 북한 추정의 사이버공격은 지금도 계속되고 있다”며 “가상화폐 거래의 경우 지난 5월 12일 유포된 워너크라이 랜섬웨어 이후 상승세를 이어가다 최근 하락하는 추세”라고 밝혔다.

이러한 가운데 최근 APT 공격에 악용될 수 있는 제로데이 취약점 등이 잇따라 발견되면서 우려의 목소리도 나오고 있다. 물론 해당 취약점을 악용한 사례가 아직까지 발견되지 않았지만, 파급력이 큰 제로데이 취약점은 거의 대부분 APT 공격에 악용된 만큼 가능성이 상당히 높다는 지적이다.

이와 관련 한 보안전문가는 “북한 추정 사이버공격을 살펴보면 국내에서 워드보단 한글문서를 더 많이 사용하다보니 한글문서 취약점을 주로 악용하지만, 특정 타깃을 노린다면 워드 취약점을 이용한 공격도 충분히 가능하다. 실제 워드 문서와 매크로 등을 악용한 공격사례도 있다”며 “MS 등에서 취약점이 발표되면 신속히 보안패치를 적용할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)