북한을 배후로 한 해커 조직이 미국 대선결과 예측 내용을 담은 언론사 문건으로 위장한 새로운 악성코드 파일로 지능형지속위협(APT) 공격을 수행한 정황이 확인됐다.
정보보호 기업 이스트시큐리티는 지난 3일 온라인 악성코드 판별 서비스 '바이러스토탈'에 악성 HWP 문서 파일이 등록됐다며 이는 북한 연계 해킹조직 '탈륨'이 미국 대선 예측 언론문서로 위장한 APT 공격을 수행한 것이라고 4일 밝혔다.
문종현 이스트시큐리티 시큐리티대응센터장은 "탈륨은 작년 말 미국 마이크로소프트(MS)사에서 정식 고소한 해킹 조직의 이름"이라며 "북한과 연계된 것으로 공식화된 상태이며, 김수키라는 이름으로도 불리고 있다"고 설명했다.
이번에 발견된 악성코드는 파일명 '미국 대선 예측 - 미주중앙일보.hwp'다. 최신 한컴오피스 한글 문서편집 프로그램에서도 작동하는 새로운 공격기법이 적용됐다는 점이 기존 악성 HWP 문서와의 최대 차이점이다.
탈륨은 '김수키'라고도 불리는 해커 조직으로, 북한을 배후로 두고 활동하며 한국 지역을 대상으로 각종 사이버공격을 수행하고 있는 것으로 알려져 있다. 이번에 발견된 악성 HWP 문서와 관련 공격 기법이 과거 공개된 탈륨의 활동과 동일한 전술, 기법, 절차(TTP)를 갖는 것으로 분석됐다.
이스트시큐리티 측은 "그동안 악성 HWP 문서는 포스트스크립트 취약점과 셸코드를 결합한 공격이 상대적으로 (빈도가) 높았다"며 "관련 문제가 해소된 한컴오피스 최신 제품이 보급되자 객체연결삽입(OLE) 기능을 악용하고 있다"고 설명했다.
OLE 기능은 마이크로소프트가 개발한 기술로 문서와 기타 객체의 연결과 삽입을 돕는 기술 규격이다. 이미지를 삽입하는 등 용도로 문서 파일에서 활용도가 높다. 한컴오피스에서 OLE 기능으로 다루는 기능은 객체 대신 '개체'라고 불린다.
이번에 발견된 악성 HWP 문서에는 OLE 기술로 'BIN0001.OLE' 데이터가 삽입돼 있다. 이 데이터 안에 이 악성코드 제작자가 비주얼베이직스크립트(VBS) 명령을 삽입한 내용과 악성코드를 제작한 시스템에서 해당 파일이 위치한 폴더 경로가 있다.
이 VBS 코드에는 한국의 특정 병의원 사이트 주소가 명령제어서버로 지정돼 있다. 해당 웹사이트는 해커가 지령을 전달하는 서버로 악용되고 있었다. 컴퓨터에서 악성 HWP 문서를 열면 VBS 코드가 작동해 명령제어서버의 추가명령을 수행하게 된다.
이스트시큐리티 측 설명에 따르면 악성 HWP 문서 본문 첫페이지에 미국 정성장 윌슨센터 연구위원(세종연구소 수석연구위원)의 실제 전망을 담은 문건의 제목 'Outlook and Tasks for U.S. North Korea Policy Post-Election'를 쓰고 있다.
해당 문서의 6페이지부터 '대선 이후 미국의 북한 비핵화 정책 전망과 과제'라는 제목과 한국어로 작성된 본문이 이어진다. 이 문서 본문 안에 숨겨진 OLE 데이터가 있고, 사용자가 이 데이터가 삽입된 위치에 접근시 OLE 개체가 자동 생성된다.
자동 생성된 OLE 개체를 클릭하면 악성 VBS 명령이 수행된다. 한컴오피스 제품에서 버전과 설정에 따라 보안 경고 메시지를 표시해 주기도 한다. 따라서 보안 경고 메시지가 보여질 때 '취소'해야 안전하다. '열기', '한 번 허용'을 하면 안 된다.
악성 VBS 명령이 수행되면 윈도 운영체제(OS) 시스템 정보, 프로세스 목록, 설치된 프로그램 목록을 만든다. 이 작업을 1시간마다 명령제어서버에 접속해 실행되도록 설정한다. 이 때 타사의 보안프로그램 업데이트 동작을 위장한다.
이스트시큐리티 측은 "탈륨 조직은 미국 마이크로소프트(MS)사가 북한과 연계된 해킹조직으로 정식 고소해 현재 궐석 재판이 진행 중"이라며 "(이 조직이) 대한민국을 상대로 한 다양한 APT 공격도 감행하고 있다"고 설명했다.
이어 "탈륨은 HWP, DOC 등 문서 파일 기반 공격뿐아니라 WSF와 EXE 실행파일을 이용한 공격을 포함하며 파상공세를 이어가고 있다"며 "이들의 전략과 전술이 고도화되고 있어 더 많은 연구, 방어 노력이 필요한 시점"이라고 당부했다.
정보보호 기업 이스트시큐리티는 지난 3일 온라인 악성코드 판별 서비스 '바이러스토탈'에 악성 HWP 문서 파일이 등록됐다며 이는 북한 연계 해킹조직 '탈륨'이 미국 대선 예측 언론문서로 위장한 APT 공격을 수행한 것이라고 4일 밝혔다.
문종현 이스트시큐리티 시큐리티대응센터장은 "탈륨은 작년 말 미국 마이크로소프트(MS)사에서 정식 고소한 해킹 조직의 이름"이라며 "북한과 연계된 것으로 공식화된 상태이며, 김수키라는 이름으로도 불리고 있다"고 설명했다.
이번에 발견된 악성코드는 파일명 '미국 대선 예측 - 미주중앙일보.hwp'다. 최신 한컴오피스 한글 문서편집 프로그램에서도 작동하는 새로운 공격기법이 적용됐다는 점이 기존 악성 HWP 문서와의 최대 차이점이다.
이스트시큐리티 측은 "그동안 악성 HWP 문서는 포스트스크립트 취약점과 셸코드를 결합한 공격이 상대적으로 (빈도가) 높았다"며 "관련 문제가 해소된 한컴오피스 최신 제품이 보급되자 객체연결삽입(OLE) 기능을 악용하고 있다"고 설명했다.
OLE 기능은 마이크로소프트가 개발한 기술로 문서와 기타 객체의 연결과 삽입을 돕는 기술 규격이다. 이미지를 삽입하는 등 용도로 문서 파일에서 활용도가 높다. 한컴오피스에서 OLE 기능으로 다루는 기능은 객체 대신 '개체'라고 불린다.
이번에 발견된 악성 HWP 문서에는 OLE 기술로 'BIN0001.OLE' 데이터가 삽입돼 있다. 이 데이터 안에 이 악성코드 제작자가 비주얼베이직스크립트(VBS) 명령을 삽입한 내용과 악성코드를 제작한 시스템에서 해당 파일이 위치한 폴더 경로가 있다.
이 VBS 코드에는 한국의 특정 병의원 사이트 주소가 명령제어서버로 지정돼 있다. 해당 웹사이트는 해커가 지령을 전달하는 서버로 악용되고 있었다. 컴퓨터에서 악성 HWP 문서를 열면 VBS 코드가 작동해 명령제어서버의 추가명령을 수행하게 된다.
이스트시큐리티 측 설명에 따르면 악성 HWP 문서 본문 첫페이지에 미국 정성장 윌슨센터 연구위원(세종연구소 수석연구위원)의 실제 전망을 담은 문건의 제목 'Outlook and Tasks for U.S. North Korea Policy Post-Election'를 쓰고 있다.
해당 문서의 6페이지부터 '대선 이후 미국의 북한 비핵화 정책 전망과 과제'라는 제목과 한국어로 작성된 본문이 이어진다. 이 문서 본문 안에 숨겨진 OLE 데이터가 있고, 사용자가 이 데이터가 삽입된 위치에 접근시 OLE 개체가 자동 생성된다.
자동 생성된 OLE 개체를 클릭하면 악성 VBS 명령이 수행된다. 한컴오피스 제품에서 버전과 설정에 따라 보안 경고 메시지를 표시해 주기도 한다. 따라서 보안 경고 메시지가 보여질 때 '취소'해야 안전하다. '열기', '한 번 허용'을 하면 안 된다.
악성 VBS 명령이 수행되면 윈도 운영체제(OS) 시스템 정보, 프로세스 목록, 설치된 프로그램 목록을 만든다. 이 작업을 1시간마다 명령제어서버에 접속해 실행되도록 설정한다. 이 때 타사의 보안프로그램 업데이트 동작을 위장한다.
이스트시큐리티 측은 "탈륨 조직은 미국 마이크로소프트(MS)사가 북한과 연계된 해킹조직으로 정식 고소해 현재 궐석 재판이 진행 중"이라며 "(이 조직이) 대한민국을 상대로 한 다양한 APT 공격도 감행하고 있다"고 설명했다.
이어 "탈륨은 HWP, DOC 등 문서 파일 기반 공격뿐아니라 WSF와 EXE 실행파일을 이용한 공격을 포함하며 파상공세를 이어가고 있다"며 "이들의 전략과 전술이 고도화되고 있어 더 많은 연구, 방어 노력이 필요한 시점"이라고 당부했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지