3.20 사이버 테러 이후 지난달 31일부터 발견된 악성파일이 상당히 은밀하고 교묘한 수법을 이용해 국내 주요 기관의 정보유출을 노린 것으로 나타났다.
윈도의 정상 시스템 파일을 조작해 부팅이 되면 추가적인 악성행위를 할 수 있도록 하는 한편, 기존에 침투했던 내역은 삭제해 추적이 거의 불가능하도록 만들었기 때문이다.
일반적으로 exe와 같은 실행 파일의 경우 보안관제나 백신 등을 통해 쉽게 악성 여부를 확인할 수 있지만 새로 발견된 공격 수법은 윈도의 시스템 파일인 것 처럼 위장했다.
7일 국내 보안업계에 따르면 3.20 사이버 테러범과 동일 조직의 소행으로 의심되는 악성파일은 보안 분석가들도 쉽게 탐지하기 어려울 정도로 복잡하고 정교한 수법을 쓰고 있는 것으로 나타났다.
이 공격은 우선 잘 알려지지 않은 뉴스사이트에 접속하는 것으로 시작된다. 이 사이트에는 악성링크 주소가 삽입돼 있어 아이콘 파일을 위장한 악성파일을 다운로드 받는다. 그러나 이 파일은 바로 실행되지 않고 특정 조건을 맞췄을 때에만 구동된다.
미래창조과학부에서 밝힌 대로 정보통신공제조합(www.icfc.or.kr)의 서버에는 또 다른 추가적인 악성파일이 올라와 있다. 이는 'sxs.dll'이라는 파일로 본래 윈도를 구동하기 위해 사용되는 정상적인 시스템 파일이다.
공격이 발동되는 조건은 이 두 가지다. 정보통신공제조합을 이용하면서도 해당 뉴스사이트를 방문하는 사람들이 대상이다.
정보통신공제조합에서 사용되는 보안모듈과 암호화 통신을 거쳐 공격 대상 PC에 sxs.dll이라는 악성파일이 전송된다. 이는 다시 감염된 PC의 인터넷익스플로러가 사용하는 폴더에 sxs.dll 파일을 저장한 뒤 기존 파일은 삭제해버린다.
sxs.dll 파일은 인터넷 익스플로러가 실행될 때 자동으로 실행되며, 또 다른 웹하드 관련사이트에서 악성파일을 추가 다운로드하고 실행한다. 추가로 실행된 악성파일은 시스템폴더에 snddev.dll 이름의 악성파일을 설치하고 스스로 삭제된다. 또한, 정상 시스템 파일인 cscdll.dll 파일의 일부분을 교묘하게 수정하여 재부팅시 자동으로 snddev.dll 악성파일이 함께 실행되도록 만든다.
이렇게 모든 악성파일의 설치가 끝난 상태로 PC를 재부팅 하면 본래 윈도 구동용 시스템 파일로 사용되는 cscdll.dll 이 실행되기 때문에 악성파일인 snddev.dll 이 자동으로 실행된다. 그 뒤로는 기존에 발견된 악성코드나 해킹 공격과 마찬가지로 해외에 마련된 C&C서버를 통해 정보를 수집한다.
여기에 사용된 보안모듈은 제큐어웹인 것으로 확인됐다. 이에 대해 한국인터넷진흥원(KISA)은 보안공지를 통해 '제큐어웹 액티브X 원격코드 실행 취약점 보안 업데이트 권고'라는 제목으로 관련 취약점에 대해 업데이트할 것을 권고했다.
문제는 상당히 정교한 수법이 사용됐다는 점이다. 실제로 익명을 요구한 보안전문가는 내부 보안모듈의 암호화 통신을 거쳐서 악성파일을 전송할 경우 이를 확인하는 일은 거의 불가능할 정도라고 밝혔다.
관련기사
- 3.20 사이버 테러범, 정보수집활동 재개 의심2013.06.07
- 3.20 테러 두 달, YTN 보안 취약점 여전2013.06.07
- 3.20 한 달, 보안업계 대표 '말말말'2013.06.07
- 北 3.20 해킹 부인 "남측 고의 도발" 주장2013.06.07
더욱이 지난달 말 발견된 공격수법은 기존에 3.20 사이버 테러 때와 거의 같은 구조의 코딩패턴을 사용했으며, 정보를 수집하기 위해 사용한 원격통신용 C&C서버의 주소도 일치하는 것으로 드러났다.
이에 따르면 3.20 사이버 테러범이 보안 업계 조차도 분석하기 어려운 수법을 동원해 국내 정보를 유출시켜나가고 있는 것이다.