지능형지속가능위협(APT) 공격이 날이 갈수록 정교해지고 있다. 이제는 국내 정부기관의 특정 공직자를 지목할 정도로 치밀한 타깃화 공격이 이뤄지고 있는 것으로 알려졌다. 특히 이번에 발견된 사례가 그 동안 나왔던 APT공격과는 다른 새로운 형태를 띄고 있다는 점도 주목할 만하다.
16일 관련업계에 따르면, 지난 15일 오후경 국내 특정 정부기관의 내부 공직자를 과감히 지목한 APT공격 징후가 포착됐다. 이 공격은 특정 주요 국가기관 이용자를 표적 대상으로 삼았다는 점이 기존 APT공격과는 구별된다.
또한 기존 APT공격은 문서파일 취약점에 초점이 맞춰져 있는데 반해 다른 방식으로 공격을 시도했다는 점도 특이점이다.
■정부기관 노린 APT공격, 어떻게 이뤄졌나?
APT공격에 사용된 악성파일은 이메일을 통해 은밀히 공격이 시도됐다. 발신자는 ‘jim tom’이란 아이디로 구글의 웹메일 서비스인 지메일 계정을 이용했다. 그러나 받는 사람 목록에는 알 수 없는 수신자라는 표시만 나타나 있고 공격자가 비밀참조 기능을 이용해 수신자 이메일 주소를 숨기도록 설정했다.
이메일에는 ‘Overseas_Koreans_Note.rar’이라는 압축파일도 함께 첨부되어 있다. 압축을 해제하면 이 때 3개 파일이 생성되는데 폴더 옵션의 조건이 설정돼 있어 관련 파일 중 ‘Overseas_Koreans_Note.rtf.Ink’라는 파일만 육안으로 확인할 수 있다.
여기서 ‘Overseas_Koreans_Note.rtf’파일과 ‘5.rtf’ 파일에는 파일 속성 자체가 아예 숨김으로 설정돼 있다. 또한 ‘Overseas_Koreans_Note.rtf.Ink’파일은 링크파일이기 때문에 확장자 자체가 실제 사용자에게는 보여지지 않는다.
문제는 이 바로가기 파일이다. 공격자가 특정 명령을 실행하도록 했기 때문에 exe악성파일과 정상 rtf문서파일을 실행해준다. 정상 파일도 함께 보여져 사용자가 감염 사실을 인지하기가 어렵게 된다.
■새로운 APT공격, “보안 기술로만 못막아”
보안 전문가들은 공격자가 특정 보안 취약점을 이용한 것이 아니라 윈도 기능을 역이용한 것으로 분석했다. 공격자가 윈도 명령어 기능을 잘 알고 특정 명령방식을 이용하고 있다.
실제로 악성파일이 실행되는 것은 ‘Overseas_Koreans_Note.rtf.Ink’ 파일에 포함된 실행 명령어 때문인데 공격자가 exe파일의 파일명 변경을 통해 바로가기 명령을 변경해 제작했다. 이 때문에 굳이 exe파일 싱행 확장자를 사용하지 않아도 사용자 몰래 실행이 가능해 공격이 이뤄질 수 있게 되는 것이다.
관련 악성파일은 현재 중국어로 제작돼 있는 것으로 알려졌다. 또한 악성파일 실행과 동시에 정상 파일도 함께 실행돼 정상내용을 보여주기 때문에 사용자들은 문제점을 알아차리기가 어렵다.
이 후 실행된 악성파일은 반복적으로 홍콩 특정 호스트로 접속을 시도해 추가 명령을 기다린다. 공격자에 추가 명령에 따라 얼마든지 정보 유출이나 지속적인 감시 등이 이뤄질 수 있어 피해가 파생될 수 있다.
보안 전문가들은 공격자가 특정 정부기관 내부 공직자 이메일 주소를 알고 있었다는 점 때문에 사전 정보수집 활동이 이뤄졌을 가능성도 전망하고 있다. 공격자가 연쇄적으로 정보수집을 통해 계속해서 공격을 수행할 수도 있기 때문이다. 이렇게 되면 지속적으로 정부기관을 타깃으로 한 공격이 발생할 가능성에 대해서도 배제할 수 없는 상황이다.
관련기사
- 도움말 파일 위장한 새 형태 APT공격 성행2012.05.16
- 한글워드 이용한 APT공격 주의하세요2012.05.16
- APT보안 공격 한글파일 침투...유명 대기업도 겨냥2012.05.16
- APT가 뜬다...보안업체 '돌격'2012.05.16
문종현 잉카인터넷 ISARC 대응팀 팀장은 “이번 공격 사례는 보안 취약점을 이용한 것이 아니라 윈도기능을 역이용했기 때문에 단순히 보안 업데이트만으로는 막을 수 없다”면서 “기술적으로 어려운 공격방식은 아니지만 첫 공격 사례인 만큼 사용자가 잘 알지 못해 무방비상태로 공격을 당할 가능성이 높아 주의가 필요하다”고 당부했다.
한편 최근 보안업계에서 출시하고 있는 APT공격 대응솔루션의 경우도 문서파일 취약점을 이용한 APT공격에 초점이 맞춰져 있어 이번과 같은 공격 형태에는 방어가 쉽지 않을 것으로 보인다.