북한 관련 악성코드, 1년 이상 장기활동 정황 포착

아주경제 장윤정 기자= 북한 관련 한글파일로 위장한 악성코드가 1년 이상 지속적인 침투활동을 벌이고 있는 정황이 포착됐다.

잉카인터넷 대응팀은 지난 09월 13일 대북언론매체인 데일리NK 뉴스 '北해커 ‘좀비 PC’ 악성코드 對北 단체에 대량유포'라는 제하의 기사에 소개된 악성파일을 분석해 본 결과 약 1년 전 2012년 6월경 대응팀이 공개한 '탈북인 인적 사항으로 유혹하는 HWP 악성파일 등장'에 쓰인 악성파일과 동일한 제작자나 조직이 만든 정황근거가 확인됐다고 발표했다.

문종현 잉카인터넷 대응팀장은 "한글(HWP) 문서파일의 취약점을 이용하는 불특정 공격자가 한국 내 북한관련 단체 및 특정 기업ㆍ기관을 상대로 은밀하고 지속적인 침투활동을 1년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다"면서 "HWP 문서파일의 취약점을 이용한 악성파일 공격을 막기 위해 한컴오피스 이용자들은 항시 최신 버전으로 제품을 업데이트해 사용해야 한다"고 말했다.

세종연구소 수석연구원이 작성한 것으로 위장한 HWP 악성파일은 대북단체 사람들에게 이메일로 전파됐다. 실행되면 실제 북한과 관련된 정상적인 문서파일을 보여주지만, 실제로는 보안취약점을 이용해 이용자 컴퓨터에 새로운 악성파일을 은밀하게 설치하도록 만들어져 있다.

겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 코드 내부적으로는 암호화된 악성파일이 포함되어 있다. 이러한 심층암호 방식은 일종의 스테가노그래피(Steganography) 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나다.

이 악성파일에 감염되면 홍콩의 특정 호스트로 접속을 시도하여 공격자의 추가명령을 수행하는 이른바 “좀비 PC”로 만들 수 있으며, 예기치 못한 각종 정보유출 등의 피해를 입을 수 있다. 현재는 한국인터넷진흥원(KISA) 등 유관기관과 긴밀하고 신속한 대응으로 명령제어(C&C)서버의 접속이 차단 조치된 상태다.

악성파일이 접속을 시도하는 명령제어 서버는 홍콩소재의 호스트로, 약 1년 전에 탈북인 인적 사항으로 위장했던 HWP 악성파일의 C&C주소와 100% 일치한다. 정상적인 'rundll32.exe' 프로그램을 통해서 악성파일인 'GooglePlay.dll' 파일이 동작하는 구조를 가지고 있다. 또한, mscmos.sys 파일을 이용하는 점도 1년 전 HWP 악성파일 수법과 동일하다. 더불어 아이콘(MFC)과 프로그래밍 언어(중국어) 역시 2012년 악성파일과 일치한다.

이런 대표적인 몇 가지 단서만을 놓고 보아서도 금번 HWP 악성파일 제작 유포조직이 1년 넘도록 국내 대북단체 등을 노리고 교묘하고 지능적인 공격을 꾸준히 벌이고 있다는 것을 확인할 수 있다고 잉카인터넷측은 밝혔다.