[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

북 추정 해커, 휴대폰 번호 탈취 후 카톡 계정 도용해 악성코드 유포 
카카오톡과 네이버 계정 탈취 노린 피싱 사이트, 지속적으로 탐지
가상화폐 노린 계정 정보 탈취와 탈북자 타깃 카톡 공격도 포착

[보안뉴스 김경애 기자] 북한 추정 해커들이 카카오톡 등 SNS를 활용해 다각도의 사이버공격을 감행하고 있다. 카카오톡과 페이스북 등 계정을 도용해 PC 메신저 이용자 대상으로 문서 파일을 전송해 악성코드 감염을 유도하고 있는 정황이 포착돼 이용자들의 각별한 주의가 필요하다.

6일 보안업계에 따르면 북한 추정 해커가 다양한 방법으로 휴대폰 번호를 입수해 카카오톡에 등록한 후, 프로필 사진과 이름을 도용하고 있으며 도용한 계정으로 지인들에게 접근해서 카카오톡 PC 메신저를 대상으로 문서 파일을 보내서 악성코드를 감염시키고 있다. 

또 다른 보안업체는 카카오톡이나 네이버 계정 탈취 등을 노린 피싱사이트가 지속적으로 탐지되고 있다고 밝혔다. 이를 바탕으로 가상화폐 거래소의 계정 탈취 및 도용을 시도하고 있을 가능성이 높다는 것이다. 

이에 대해 익명의 보안전문가는 “가상화폐 거래소에서 일반적으로 추가 인증을 받고 있는데, 여기에는 메일 계정, 카카오톡 계정 인증, 계좌 인증 등을 요구하고 있어 이러한 인증을 뚫기 위해 피싱사이트를 유포할 가능성도 있다”고 예측했다.

보안연구 그룹인 모의침투연구회 관계자는 “카카오톡 계정 도용을 통해 다른 사람들에게 시도한 공격이 성공하면, 악성파일 뿐만 아니라 링크를 첨부로 위장한 사이트나 구글 URL 단축 기능을 이용해 또 다른 공격을 시도하기도 한다”며 “연결고리 형태로 계속 정보를 탈취할 것”이라고 우려했다. 

이와 함께 탈북자를 노린 카카오톡 공격도 지속적으로 탐지되고 있는 것으로 알려졌다. 본지에서 보도한 것처럼 뉴스 기사를 미끼로 단축 URL을 전송하거나 북한관련 앱 다운을 유도하는 방법 등으로 지인을 가장한 SNS 공격에 공을 들이고 있는 상황이다. 이로 인해 SNS 계정관리가 더욱 중요해질 것으로 보인다. 

따라서 이용자는 카카오톡에서 지인이 메시지를 전송하거나 말을 걸면 지인이 맞는지 확인과정을 거치는 것이 바람직하다. 특히, 계정 도용의 경우 이용자의 사진과 이름이 똑같기 때문에 지인이 정말 맞는지 추가적으로 확인할 필요가 있다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

http://www.boannews.com/media/view.asp?idx=58445

IntelligenceSecurityCERT

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

북 추정 해커, 비트코인·라이트코인·모네로 등 신생 코인에도 손 뻗쳐 
소니픽처스 해커가 사용한 악성코드와 유사...이미 수년전부터 공격 시도
가상화폐 거래소 후원 받아 방북한 로드맨 이슈와의 연관성 의혹도 제기

[보안뉴스 김경애 기자] 가상화폐 거래소를 노린 북한의 공격이 끊이지 않고 활개를 치는 양상이다. 금전적 이득을 취하기 위한 공격이 국내외 가상화폐 거래소 곳곳에서 탐지되고 있다. 

[이미지 = iclickart]

27일 한 보안전문가는 “북한 해커가 비트코인, 라이트코인, 모네로 등 메이저 코인뿐만 아니라 ICO 이후 상장하면 수십배 뛰어오르는 신생 코인에도 광범위하게 손을 뻗치고 있다”며 “금전 취득을 목적으로 한 해킹에 주력하고 있다”고 밝혔다.

가상화폐를 노린 공격 방법은 사전에 가상화폐 거래소나 가상화폐 관련 정보를 수집한 다음 이를 소스로 이용자들을 속이기 쉽게 사화공학적 기법을 접목시켜 각종 스피어피싱 메일을 발송하거나 APT 공격을 감행하는 방식이다. 

이와 관련 한국인터넷진흥원 이동근 단장은 “북한의 사이버공격은 스피어피싱과 APT 공격이 주를 이룬다”며 “공격대상의 경우 기존에는 방산 쪽에 치중했으나 민간으로는 넘어오면서 인터파크처럼 개인정보 탈취와 같은 금전적 이득을 취할 수 있는 곳과 최근에는 가상화폐거래소로 이어지고 있다. 이전보다 금전적 취득 목적이 강화된 양상”이라고 말했다. 

또한, 모의침투연구회 관계자는 “가상화폐가 북한의 주요 타깃이 되는 이유로는 유엔의 제재 여파와 충성심 경쟁에 있다”며 “SNS를 통해 가상화폐 정보 동향을 수집하고 가상화폐 거래소를 주요 타깃으로 삼아 스피어피싱 공격을 지속적으로 시도하고 있다”고 말했다.

해외에서도 북한의 가상화폐 거래소 공격은 큰 화두다. 글로벌 보안업체 파이어아이(FireEye)는 북한에게 비트코인과 가상화폐는 대북제재 이후 더 매력적인 통화 수단이 되고 있다고 밝힌 바 있다. 

파이어아이(FireEye) 아태 총괄인 브라이스 볼랜드(Bryce Boland) CTO는 “북한의 제재 조치는 사이버 범죄의 활동을 촉진할 것”이라며 “가상화폐 거래소 공격은 궁극적으로 금전적 탈취를 위한 이들의 훌륭한 수단이 될 수 있다”고 말했다. 핵무기 프로그램에 대한 국제 제재가 점점 더 심해짐에 따라 북한이 돈을 벌어들이는 불법적 수단의 한 사례일 뿐이라고 덧붙였다.

그렇다면 이들은 언제부터 가상화폐를 노리고 공격한 것일까? 이에 대해 보안전문가들은 북한의 가상화폐를 노린 공격은 이미 수년전부터 활발하게 이뤄졌다고 입을 모았다.

국내의 경우 가상화폐가 대중화되지 않던 초창기 시절부터 특정 가상화폐 거래소 대표에 대한 사전정보를 입수했고, 주요 공격 타깃으로 삼고 있다는 분석도 나오고 있다. 여기에는 국내에 유포된 랜섬웨어와도 상관관계가 있는 것으로 알려졌다. 익명을 요청한 한 보안전문가는 “국내에 가상화폐 거래소가 생기면서 랜섬웨어가 활개를 쳤다”며 “랜섬웨어는 외국에서나 통하는 악성코드로 국내에는 크게 문제가 되지 않았다. 그러다 가상화폐와 만나며 폭발적으로 급증했다”고 밝혔다. 

또한, 영화배우이자 전 농구선수인 데니스 로드맨(Dennis Rodman)을 언급하며, 북한은 일찌감치 가상화폐를 활용했다는 분석을 내놓았다. 이는 로드맨이 지난 2013년 북한을 방문했을 때 입었던 티셔츠와 트위터 글이 떠올리게 하는 대목이다. 

당시 로드맨은 대마초를 합법적으로 구매할 수 있는 암호화된 전자화폐 회사인 팟코인닷컴(potcoin.com)이 새겨진 검은색 티셔츠를 입었으며, 그는 트위터에 ‘후원해준 파코인닷컴에 고맙다’(I’m back! Thanks to my sponsor Potcoin.com)는 글을 올렸다. 

[이미지=팟코인(Potcoin)홈페이지]

이와 관련 익명의 보안전문가는 “농구선수 로드맨이 팟코인의 후원을 받아 북한에 방문했다”며 “사전에 호텔에서 팟코인이 새겨진 티셔츠를 입고 나오기로 사전에 합의한 것으로 알고 있다. 왜 그 회사가 북한에 방문하는 로그맨을 후원했는지 주목해야 한다. 이미 북한은 이전부터 자금추적이 쉽지 않은 가상화폐를 활발히 활용해온 데다가 북한이 팟코인의 VIP 고객이거나 연관성이 높을 가능성이 있다”고 말했다. 

보안업계 관계자는 “3.20 전산망 장애를 일으킨 그룹은 이미 2014년에 가상화폐를 채굴하는 악성코드를 배포한 적이 있다”며 “당시에는 실험단계였다면 소니픽쳐스 공격조직의 경우에는 2017년 국내 가상화폐 거래소를 본격적으로 공격한 것으로 보인다. 이는 소니픽쳐스 공격에 사용된 악성코드와 비슷한 악성코드가 국내 비트코인 거래서 공격에서도 사용됐기 때문이다. 이는 최근 나온 프루프포인트와 앞서 발표된 파이어아이 보고서에서 가상화폐 거래소 공격 배후로 북한을 지목하고 있는 것만 봐도 알 수 있다”고 귀띔했다. 

이에 따라 2018년은 채굴형 악성코드가 유행할 것으로 전망되고 있다. 기존의 랜섬웨어는 돈을 받는 걸 노렸다면, 내년부터는 돈을 직접 만들 수 있는 채굴형 악성코드가 유행할 것으로 보인다. 1년에 1~2건 정도 발견됐던 리눅스형 악성코드가 최근 들어 급증하고 있는 것도 기존 랜섬웨어와 달리 가상화폐를 직접 채굴하는 악성코드 감염과 관계가 깊다고 볼 수 있다. 

극동대학교 박원형 교수는 “가상화폐 출현과 같은 새로운 패러다임의 변화는 북한 해커가 금전적인 이익을 직접 획득하는 시대로 진입하고 있다는 증거”라며 “향후 비트코인과 같은 가상화폐를 직접 얻을 수 있는 채굴형 악성코드의 창궐은 PC 성능 저하를 통해 정부부처 및 공공기관 뿐만 아니라 기업의 전산망을 교란하거나 마비시킬 수도 있다는 의미다. 이를 통해 북한은 사회적 혼란과 금전적 이익을 모두 달성할 것으로 보인다. 이에 대응하기 위해서는 공공기관과 기업의 전산망 보호조치와 개인의 PC 보안 강화가 시급하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

페이스북, 카카오톡 등 SNS 통해 접근하며 악성앱 설치 유도
‘북한의 기도’, 권한 탈취 기능 탑재한 스파이앱으로 탈북자 감시 통제

[보안뉴스 김경애 기자] 카카오톡과 페이스북 등 SNS를 타깃으로 한 북한 추정 사이버공격이 지속적으로 포착되고 있다. 이번엔 탈북자를 노린 공격으로 SNS를 통해 접근한 후 ‘북한의 기도’라는 악성앱 설치를 유도한 정황이 포착됐다.

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용] DDE 공격 북 추정 해커, 이번엔 OLE 악용해 공격

북한 추정 해커 : DDE, OLE, EPS, 고스트스크립트 등 기능 악용
워드나 한글 문서 파일에 기능 접목...악성파일 심어 이메일 통해 유포

[보안뉴스 김경애 기자] 북한 추정 사이버공격이 줄줄이 포착되고 있어 인터넷 이용자들의 각별한 주의가 필요하다. 해커는 DDE(Dynamic Data Exchange), EPS(Encapsulated Postscript), 고스트스크립트(Ghostscript), OLE(Object Linking and Embedding)와 같은 프로그램 기능을 워드문서나 한글문서에 악용해 악성파일로 만들었다. 이 악성파일은 이메일로 유포되며 곳곳에서 탐지되고 있다. 이에 따라 이메일 열람시 각별한 주의가 필요하다. 

[이미지=한국인터넷진흥원]

이와 관련해 본지는 지난 1일 DDE 기능을 이용한 공격에 대해 보도한 바 있다. 이 공격은 MS 워드 문서에 DDE 기능을 이용해 악성코드에 감염되도록 하고 있다. 그런데 이 기능을 이용한 공격과 함께 다른 기능을 악용한 악성파일이 지난 3월부터 최근까지 지속적으로 발견되고 있다. 

모의침투연구회에서 북한 사이버공격을 지속적으로 연구한 한 관계자는 “탈북자를 대상으로 DDE 기능과 악성 쉘 스크립트를 사용한 워드 DOC 파일 문서와 한글 악성파일이 모니터링을 통해 발견됐다”며 “기존에 발견된 악성파일에서 제목과 발신자만 다를 뿐 파월셀 악성 스크립트 등은 모두 동일하며, 3월 27일, 6월 23일, 10월 26일 총 3번의 공격 시도가 있었다”고 밝혔다. 

그런데 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE(Object Linking and Embedding) 기능을 악용해 공격한 정황도 포착됐다. 

이메일을 통해 유포된 한글 악성파일에는 ‘그 동안 여러 단체장님들과 애국시민님들의 헌신적인 노력으로 미흡한대로 북한인권법이 통과 되었다’며, ‘시행령 제정 및 북한인권재단 설립작업도 마무리 됐으니 단체장 연석회의를 열고 논의하자’는 내용이 담겨 있다.

이 악성파일은 지난 1일 발견됐으며, 한글문서에 OLE 기능을 악용해 정보수집용 악성코드를 넣어 악의적인 행위를 실행하도록 만들었다. 

OLE 기능은 MS 워드나 한글 문서 등과 같이 OLE가 지원되는 그래픽 프로그램에서 그림 등을 삽입할 수 있다. 이와 관련해 한 보안전문가는 “객체 삽입도 원래 있는 기능으로, 문서나 동영상 등을 넣을 수 있다”며 “공격자는 악성코드를 삽입해 사용자 클릭을 유도한다. 이는 과거에도 여러차례 발생한 이슈이며, 여기에는 사회공학적 기법이 사용된다”고 분석했다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스 입수]

이 뿐만 아니다. 북한 추정 해커는 안보 단체, 북한 인권 운동가, 북한 내용을 다루고 있는 기자, 탈북자 등 특정인을 타깃으로 한 APT 공격도 감행하고 있다. 이들을 대상으로 이메일에 악성파일을 첨부해 악성코드 감염을 유도하고 있다. 그중 한글 악성 파일의 경우 EPS와 고스트스크립트(Ghostscript) 기능을 악용한 정황이 포착됐다.

한 보안전문가는 “해커가 탈북자 등을 타깃으로 공격방식을 바꾼 것으로 보인다. EPS 취약점을 악용해 한글 내 문서에 문제가 있는 것처럼 창 모양 이미지를 넣어두고 사용자가 에러창으로 인식하게 해 클릭을 유도한다”며, “EPS 취약점 가지고 있는 문서는 사용자가 문서 읽는다고 내리면 실행된다. 이와 관련해서는 이미 2016년 한글과 컴퓨터 측에서 업데이트하며 기능을 빼버려 패치된 상태이며, 취약점 자체도 CVE-2015-2545”라고 설명했다. 이는 악성파일 감염자가 취약점이 패치되기 이전의 낮은 버전을 사용하고 있었다는 얘기다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스]

이어 지난해 12월 ‘김일성 평전’이라는 제목으로 칼럼을 작성한 한 기자에게도 APT 공격을 감행한 정황이 포착됐다. 첨부파일로 위장한 악성파일의 제목은 ‘김일성의 실체’라고 해서 수신을 유도하는 등 사전조사를 통해 정보를 수집한 후 사회공학적 수법을 이용하는 등 주도면밀하게 공격했다. 

해커는 문재인 정권의 친북 좌파 정책으로 해산됐지만 북한 독재를 무너뜨리기 위한 활동을 계속하고 있다는 문구와 함께 84.52MB 크기의 ‘김일성의 실체.zip’ 대용량 파일 1개를 첨부했다. 해당 파일은 100회 다운로드가 가능하다고 소개하며 10월 18일까지 30일 보관된다는 문구가 포함돼 있다. 

이처럼 북한 추정의 악성파일 유포가 지속적으로 발견되고 있는 만큼 각별한 주의가 필요하다. 

이와 관련해 한국인터넷진흥원 측은 “최근 MS오피스 DDE 기능 등을 이용한 악성코드 유포 사례(악성 이메일 발송)가 확인되고 있다”며 “보안담당자는 첨부 파일이 포함된 메일에 대한 검사를 강화하고, 출처가 불분명한 메일은 삭제 또는 스팸 처리하거나 118사이버민원센터로 신고해줄 것”을 당부했다. 

[이미지=한국인터넷진흥원]

MS 오피스의 DDE 기능을 사용하지 않을 경우 해제 방법(Office word 2013 기준)은 ①MS워드 실행 → ②메뉴에서 파일 선택 → ③옵션 → ④고급 → ⑤일반 → ⑥‘문서를 열 때 자동 연결 업데이트’ 체크 해제를 통해 피해를 예방할 수 있다. 
[김경애 기자(boan3@boannews.com)] http://www.boannews.com/media/view.asp?idx=57828

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT 

오는 26일부터 9월1일까지 고려대학교 에서 ‘2017 암호경진대회’를 개최한다고 13일 밝혔다. 

고려대학교 정보보호대학원 에서 주관하고  SEC 연구소에서 후원하는 이번 대회는 정보보호와 암호에 관심 있는 고등학생,대학(원)생,  및 일반인들을 대상으로  정보보호와 사이버안보에 도움이 될 

창의적인 정보보호 전문가를 발굴·육성하기 위해 마련됐다.

과거 입상 대상자와 동일한 팀구성으로 참가는 제한된다.

이번 경진대회는 6월 1일 문제를 공고한다.