박근혜 대통령 유럽순방 문서 사칭 북한 사이버간첩 활동 발견

아주경제 장윤정 기자 = 박근혜 대통령이 인도 방문으로 세일즈외교에 성과를 내고 있는 가운데 박 대통령의 유럽순방 성과를 사칭한 HWP 문서 악성파일이 발견됐다.

이 HWP 악성파일은 수신자가 의심하지 않도록 정상적인 파일을 위장, 열어보는 순간 악성코드에 감염돼 PC내 모든 정보를 탈취당하고 원격조정 등을 받게 된다. 

특히 HWP 문서취약점을 이용한 공격방식은 한국 맞춤형으로 제작되며, 악성파일들은 북한 및 중국 등에서 제작된 것으로 추정된다. 이들은 국내 기업 및 기관의 주요정보를 수집하고, 정찰 및 내부침투 목적으로 지속적인 공격을 감행하고 있어 주의가 시급하다. 

잉카인터넷은 지난 15일 '박근혜 대통령 유럽순방 의의와 성과.hwp' 악성파일을 발견했다고 19일 밝혔다.

이 악성파일은 HWP 보안취약점을 통해 추가적인 악성파일을 설치한다. 먼저 공격자는 문서파일을 이메일에 첨부하고 특정 인사에게 은밀하게 발송하게 되며, 수신자가 보안이 취약한 조건에서 해당 문서를 열람할 경우 또 다른 악성파일에 감염되게 된다.

'박근혜 대통령 유럽순방 의의와 성과.hwp' 파일은 사용자 PC에 최신 한글패치를 적용하지 않는 등 보안취약점이 있다면 이에 의해 PC를 감염시킨다. 물론 실행되면 정상적인 문서파일이 나타나기 때문에 사용자는 의심하지 못한다. 

정상적인 문서 내용을 보여주면서 은밀하게 컴퓨터에는 별도의 악성파일을 추가로 생성하고 감염시키게 되는데, 최근 언론을 통해서 발표된 '초청장.hwp' 등의 악성파일 변종이 설치된다.

이번 악성파일도 동일하게 시스템 폴더 경로에 악성파일을 생성하고 실행시킨다. 기존의 HWP 문서파일들이 생성하는 악성파일명도 동일하고 내부 코드 스타일도 일치하는 변종이다. 이 악성파일은 이미 북한에서 제작된 것으로 알려져 있는 상태이다.

잉카인터넷측의 분석에 의하면 생성된 파일들은 각각 2014년 01월 12일~14일 사이에 제작됐다. 가장 최근에 제작된 모듈은 내부적으로 'new_nsldapv.dll' 이라는 이름으로 만들어졌다. 최초 발견 시점은 지난 2014년 01월 15일이다.

잉카인터넷측은 "만약 내부 침투에 성공할 경우 탐지 전까지 무한 잠복기를 거치며, 추가적인 2차 공격의 교두보 거점으로 활용하게 된다"며 "이럴 경우 오랜기간 중요한 정보 등에 접근할 수 있어 잠재적인 보안위협으로 작용하게 된다"고 밝혔다.

또 잉카인터넷 대응팀은 "HWP 문서 취약점을 통한 이번 공격은 국내 특정 기관들을 상대로 은밀하게 공격되고 있다"며  "이메일 첨부파일로 HWP 문서파일을 수신할 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 않는 것이 안전하다. 한컴 오피스 이용자들은 반드시 최신 업데이트를 설치, 이미 알려진 보안취약점을 제거해야한다"고 당부했다.

 

박근혜 대통령의 유럽순방 결과 한글 문서파일로 위장한 악성코드가 발견됐다. 북한의 표적공격이 의심되므로 주의해야한다