최근 발견된 탈북자 정보를 사칭해 좀비PC를 만드는 악성파일이 지난해 발견된 것과 거의 같은 수법을 쓰고 있어 동일 제작자, 동일 조직이 1년 전부터 공격을 수행해 온 것으로 추정된다.
잉카인터넷 대응팀은 지난 13일 대북언론매체인 데일리NK가 보도한 '北해커 좀비 PC 악성코드 對北 단체에 대량유포'라는 제목의 기사에 나온 악성파일을 분석한 결과 1년 전 대응팀이 발견한 '탈북인 인적사항으로 유혹하는 HWP 악성파일'에 공개됐던 것과 수법 등에서 동일 제작자나 동일 조직이 만든 것으로 보이는 증거를 포착했다고 16일 밝혔다.
마치 세종연구소 수석연구원이 작성한 것으로 위장한 HWP 악성파일은 대북단체 사람들에게 이메일로 전파됐으며, 실행되면 실제 북한과 관련된 정상적인 문서파일을 보여주지만, 실제로는 보안취약점을 이용해 이용자 컴퓨터에 새로운 악성파일을 은밀하게 설치하도록 만들어져 있다.
이 악성파일에 감염되면 홍콩의 특정 호스트로 접속을 시도해 공격자의 추가명령을 수행하는 좀비PC로 만들 수 있으며, 예기치 못한 각종 정보유출 등의 피해를 입을 수 있다.
현재는 한국인터넷진흥원(KISA) 등 유관기관과 긴밀하고 신속한 대응으로 C&C서버의 접속이 차단 조치된 상태이다.
해당 악성파일 내부에 포함된 악의적인 코드는 보안제품 탐지 우회 및 코드 분석을 방해하기 위해서 암호화된 형태로 숨겨져 있으며, HWP파일의 보안 취약점 작동 시 윈도우의 임시폴더(Temp) 경로에 '$EM0001.jpg' 이름으로 암호화된 악성파일이 생성되고, Shellcode 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 'svohost.exe' 파일명의 악성파일이 생성되고 실행된다.
겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 코드 내부적으로는 암호화된 악성파일이 포함되어 있다. 이러한 심층암호 방식은 일종의 스테가노그래피 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나다.
악성파일이 접속을 시도하는 명령제어 서버는 홍콩소재의 호스트로, 약 1년 전에 탈북인 인적 사항으로 위장했던 HWP 악성파일의 C&C주소와 100% 일치하는 것으로 나타났고, 정상적인 'rundll32.exe' 프로그램을 통해서 악성파일인 'GooglePlay.dll' 파일이 동작하는 구조를 가지고 있다. 또한 'mscmos.sys' 파일을 이용하는 점도 1년 전 HWP 악성파일 수법과 동일하다. 더불어 아이콘(MFC)과 프로그래밍 언어(중국어) 역시 2012년 악성파일과 일치한다.
관련기사
- 8월 스미싱 악성코드, 전월 대비 2배로 급증2013.09.16
- 감염될 때까지 발목잡는 악성코드 등장2013.09.16
- 美 첩보기관, 북한 등 231개국 사이버 공격2013.09.16
- 을지연습 중 6.25 변종 악성코드 발견돼2013.09.16
이런 대표적인 몇 가지 단서만을 놓고 봤을 때 최근 HWP 악성파일 제작 유포조직이 1년 넘게 국내 대북단체 등을 노리고 교묘하고 지능적인 공격을 꾸준히 벌이고 있다는 것을 확인할 수 있다는 설명이다.
문종현 잉카인터넷 대응팀장은 HWP 문서파일의 취약점을 이용하는 불특정 공격자가 한국 내 북한관련 단체 및 특정 기업, 기관을 상대로 은밀하고 지속적인 침투활동을 1년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다며 취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 한컴오피스 이용자들은 항시 최신 버전으로 제품을 업데이트해 사용해야한다고 당부했다.