Lazarus Group Deploys Its First Mac Malware in Cryptocurrency Exchange Hack

Kaspersky Lab: 북한이 '최초' macOS Malware와 Cryptocurrency Exchange를 해킹하다

New Report: North Korean Hackers Stole Funds From South Korean Cryptocurrency Exchanges

새로운 보고서: 남한의 암호거래소에서 북한 해커들의 자금 지원   By ************ 2018.08.25. 북한동향

러시아 인터넷 보안업체인 카스퍼스키랩은 8월 23일 러시아 인터넷 보안업체 캐스퍼스키랩에 북한 해커들이 윈도와 마코스를 위한 악성코드와 암호 교환을 처음으로 감염했다고 밝혔다.

Kaspersky의 보고서에서, 회사는 "AppleJeus"라고 불리는 악성코드가 직원이 사용하는 앱으로 감연된 후, 익명의 교환 시스템에 침투했다고 믿는다.

이 악성코드는 암호화폐를 훔치는 것을 목표로 했다고 카스퍼스키는 주장한다

Kaspersky의 보고서는 "OS 플랫폼이 대상을 감염시키는 데 장애물이 되지 않도록 하기 위해, 공격자는 MacOS를 포함한 다른 플랫폼을 위한 멀웨어를 개발하는 것 같다"고 언급하고 있습니다.

이 웹사이트에 따르면 "Linux용 버전이 곧 출시될 것 같다. 이 APT 그룹이 MacOS용 멀웨어를 사용하는 것을 본 것은 이번이 처음일 것입니다.“

한국은 전통적으로 Lazarus의 표적이 되어왔고, Bithumb, YuBit, Coinlink와 같은 플랫폼에 대한 공격과 관련하여 많은 불만이 제기되었다.

Kaspersky의 GReAT APAC 팀의 Vitaly Kamluk 팀장은 Bleeping Computer와 통화하면서 다음과 같이 덧붙였습니다.

"Windows 사용자뿐만 아니라 MacOS 사용자를 감염시키기 위해 맬웨어를 개발했다는 사실은 보안 솔루션에서 탐지되지 않은 멀웨어를 제공하기 위해 완전히 가짜 소프트웨어 회사와 소프트웨어 제품을 만들었다는 것을 의미합니다.“

7월 초, 한 보안 연구팀이 Slack 과 Discord사용자를 대상으로 한 마코 맬웨어 공격을 발견했는데, 해커들은 암호화폐와 관련된 채팅에서 “key people”으로 가장한 후 다운로드된 “small snippets”를 공유한다.

러시아 백신업체 카스퍼스키랩에 따르면 몇 년 전 소니필름을 해킹한 북한 해커 라자러스그룹은 사상 최초의 맥 맬웨어를 구축했다고 한다.

Kaspersky 연구원들은 Bleeping Computer와 미리 공유한 보고서에서 Lazarus 그룹이 아시아 기반의 암호 교환 플랫폼의 IT 시스템을 침입했다고 밝혔습니다.

 https://cointelegraph.com/news/mt-gox-crypto-exchange-opens-claims-for-creditors-to-request-lost-funds

"이 플랫폼의 해킹은 아직 언론에 보도되지 않았다"고 카스퍼스키 대변인이 Bleeping Computer에 말했다.

Kaspersky Lab의 GReAT APAC 책임자인 Vitaly Kamluk은 오늘 이메일을 통해 Bleeping Computer에게 "기업은 성공적으로 타격을 입혔지만 금전적 손실은 전혀 모르고 있습니다"라고 말했습니다. "우리는 그 위협이 우리의 통보를 바탕으로 한 것으로 추정합니다."

직원이 트로이 목마 앱을 다운로드한 후 Exchange 해킹

카스퍼스키랩이 애플제우스 작전부의 코드명으로 분석한 해킹은 거래소 직원들 중 한 명이 암호체계를 개발하는 회사로부터 온 것이라고 주장하는 합법적으로 생긴 웹사이트에서 앱을 다운로드한 후에 발생했다.

하지만 이 앱은 가짜이며 악성 소프트웨어에 감염되었습니다. Windows(윈도우)에서는 적어도 2016년 이후 Lazarus Group과 관련된 것으로 알려진 원격 액세스 트로이 목마(RAT)로 사용자를 다운로드 및 감염시킨 후 실시간 캠페인에 처음 배포했습니다.

그러나 이전의 라자러스 운영과는 달리 해커들은 이전에 하지 않았던 Mac 맬웨어 변종도 배치했다. 멀웨어는 동일한 암호화 거래 소프트웨어의 Mac 버전 안에 숨겨져 있습니다.

전문가들은 오염된 앱에는 윈도우와 맥 맬웨어가 모두 나타나지 않았다고 말한다.

멀웨어 인증서의 비밀

또한 트로이 목마화된 암호화 거래 소프트웨어는 유효한 디지털 인증서로 서명되어 보안 검사를 우회할 수 있었습니다.

이 증명서를 둘러싼 큰 미스터리는 카스퍼스키 전문가들이 이 증명서의 정보의 주소에 그것이 존재했다는 것을 증명할 수 없었다고 말한 회사에 의해 발행되었다는 것이다.

"그들이 Windows 사용자들뿐만 아니라, 그리고 아마도 가장 그럴듯하게 완전히 가짜 소프트웨어 회사와 소프트웨어 제품을 개발했다는 사실은 우리가 그들이 보안 솔루션에 의해 탐지되지 않은 멀웨어를 제공할 수 있다는 것을 확실히 의미합니다.가까운 미래에 더 많은 그러한 사건들이 발생할 것이다."라고 Kamluk은 말한다.

카스퍼스키는 해킹당한 암호 교환의 이름을 밝히지 않았다.

일부 사이버보안업체들은 2017년 초부터 북한 해커들이 비밀통화와 금융기관을 해킹하는 데 큰 관심을 보여왔다고 여러 차례 지적했다.

지난 해, 몇몇 아시아 암호 교환 플랫폼은 주로 한국에 위치한 교환 플랫폼인 보안 장애를 겪었다. 해킹은 비텀, 야피존, 유비트, 코인레일, 비썸에서 다시 보고되었다.

Kaspersky는 보고서의 중앙에 암호 교환의 이름을 밝히지 않았지만 Bleeping Computer에게 말했다.

미국의 사이버보안회사인 트렌드마이크로는 이번 주에 한국 기관에 대한 공급망 공격을 보고했으나 이번 해킹을 북한 탓으로 돌리지 않았으며, 이 해킹이 암호 교환 플랫폼을 목표로 한다는 것도 구체적으로 밝히지 않았다.

"우리는 올해 한국의 공급망에 대한 공격 물결을 알고 있지만, 애플 제우스는 이러한 공격들과 관련이 없습니다,"라고 캄룩은 Bleeping Computer에서 말했다. "피해자는 한국에 없었다."

Kaspersky의 추가 의견으로 게시 후 업데이트.

https://securelist.com/operation-applejeus/87553/

미국의 사이버보안회사인 '레코드 퓨처'는 북한 해킹 단체 라자루스를 한국의 여러 암호교환 해킹 공격과 보안 위반과 연계시키는 새로운 보고서를 발표했다.

이 회사의 연구원들은 "2017년 말 남한 암호 통화 사용자 및 교환을 목표로 한"이라는 제목의 보고서에서 소니 픽처스 보안 침해에 사용된 것과 동일한 종류의 악성 프로그램 및 사우스코커린 코블로그 공격이라고 말했다.

"북한 정부 관계자, 특히 라자러스 그룹은 김정은의 신년 연설과 후속 남북대화 이전에 2017년 말에 한국의 암호 교환과 사용자들을 계속해서 목표로 삼았습니다. 이 악성코드는 2014년 소니픽처스엔터테인먼트와 2017년 2월 완나크리의 첫 번째 희생자에 사용된 데스트오버 맬웨어와 공유 코드를 사용했다고 이 보고서는 밝혔다

Bithumb에서 7mln 도난

2017년 2월 거래량 기준으로 세계 2위의 암호통화 거래소인 비썸은 기본 통화인 암호폐 약 7ml의 손실로 이어지는 보안침해로 인해 피해를 입었다.

Recorded Future가 발표한 보고서에 따르면 7mln Bithumb 보안 위반은 북한 해커들과 관련이 있다고 합니다. 북한 해커들의 활동을 정기적으로 추적하는 사이버 보안 연구 단체인 Insikt Group 연구원들은 특히 Lazarus Group이 암호화 공격에서 멀웨어 배포에 이르기까지 다양한 도구를 사용하여 통신 플랫폼에 접근하고 있음을 밝혔다.

Insikt Group의 연구원들은 라자러스 그룹 해커들이 2017년 가을에 대규모 악성 프로그램 캠페인을 시작했으며, 그 이후 북한 해커들은 개별 장치에 접근하기 위해 사기 소프트웨어가 포함된 파일을 첨부하여 악성 프로그램을 유포하는 데 주력해 왔다고 밝혔습니다.

Lazarus Group이 채택한 한 가지 방법은 맬웨어가 첨부된 Microsoft Word 문서와 동일한 한국의 e-메일을 통해 HWP(한국어 워드 프로세서) 파일을 배포하는 것이었습니다. 사용자가 맬웨어를 다운로드하는 경우 자동으로 설치되고 백그라운드에서 작동하며 특정 장치에 저장된 데이터를 제어하거나 조작합니다.

2017년까지 북한 공격자들은 암호화폐에 뛰어들었다. 최초로 알려진 북한 암호통화는 2017년 2월에 이루어졌고 당시 한국 교환 Bithum에서 암호통화로 7mln의 돈을 훔쳤다. 2017년 말까지 몇몇 연구원들이 한국의 암호 교환, 수많은 성공적인 절도, 비트코인 및 모노에로의 광산업에 대한 추가적인 스피어 피싱 캠페인을 보고했습니다."라고 Insikt Group의 연구원들이 전했습니다.

북한 해커들의 동기부여

미래 기록 보고서가 발표되기 전에, 몇몇 다른 사이버 보안 회사들은 북한의 해킹 그룹을 정교한 악성코드와 피싱 공격 도구로 한국의 암호 거래 플랫폼을 목표로 한다고 비난했다.

파이어아이 사의 연구원들은 한국의 암호 교환에 대한 6건의 사이버 공격을 북한을 기반으로 한 국가 금융 해커들과 연계시켰다. 가장 최근에, Cointellegraph가 보도한 대로, 경찰 조사관과 한국 인터넷 보안 기관은 한국의 암호 거래 플랫폼인 YouBit의 부도를 초래한 보안 위반에 대한 전면적인 조사에 착수했다.

당시 국내 수사관들은 유비트 보안 위반을 북한 해커들과 연계시킬 수 있는 증거를 발견했다고 말했다. 파이어아이의 루크 맥나마라 선임 분석가는 블룸버그통신과의 인터뷰에서 북한 해커들이 널리 활용하는 유사한 도구가 유비트 해킹 공격에 사용되었다고 말했다.

"우리가 지켜봐 온 적이 점점 더 능력을 발휘하고 대담해지고 있습니다. 그들이 노리고자 하는 목표들 말입니다. 2016년 이후로는 주로 간첩활동으로 자금을 빼돌리기 위해 사용하던 기능을 활용해온 대규모 전략 중 하나일 뿐입니다.

https://www.fireeye.com/blog/threat-research/2017/09/north-korea-interested-in-bitcoin.html

https://www.recordedfuture.com/north-korea-cryptocurrency-campaign/

https://cointelegraph.com/news/north-korean-hackers-attack-cryptocurrency-users-and-service-providers

https://cointelegraph.com/news/north-korea-accused-of-hacking-south-korean-bitcoin-exchange-youbit

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

북 추정 해커, 휴대폰 번호 탈취 후 카톡 계정 도용해 악성코드 유포 
카카오톡과 네이버 계정 탈취 노린 피싱 사이트, 지속적으로 탐지
가상화폐 노린 계정 정보 탈취와 탈북자 타깃 카톡 공격도 포착

[보안뉴스 김경애 기자] 북한 추정 해커들이 카카오톡 등 SNS를 활용해 다각도의 사이버공격을 감행하고 있다. 카카오톡과 페이스북 등 계정을 도용해 PC 메신저 이용자 대상으로 문서 파일을 전송해 악성코드 감염을 유도하고 있는 정황이 포착돼 이용자들의 각별한 주의가 필요하다.

6일 보안업계에 따르면 북한 추정 해커가 다양한 방법으로 휴대폰 번호를 입수해 카카오톡에 등록한 후, 프로필 사진과 이름을 도용하고 있으며 도용한 계정으로 지인들에게 접근해서 카카오톡 PC 메신저를 대상으로 문서 파일을 보내서 악성코드를 감염시키고 있다. 

또 다른 보안업체는 카카오톡이나 네이버 계정 탈취 등을 노린 피싱사이트가 지속적으로 탐지되고 있다고 밝혔다. 이를 바탕으로 가상화폐 거래소의 계정 탈취 및 도용을 시도하고 있을 가능성이 높다는 것이다. 

이에 대해 익명의 보안전문가는 “가상화폐 거래소에서 일반적으로 추가 인증을 받고 있는데, 여기에는 메일 계정, 카카오톡 계정 인증, 계좌 인증 등을 요구하고 있어 이러한 인증을 뚫기 위해 피싱사이트를 유포할 가능성도 있다”고 예측했다.

보안연구 그룹인 모의침투연구회 관계자는 “카카오톡 계정 도용을 통해 다른 사람들에게 시도한 공격이 성공하면, 악성파일 뿐만 아니라 링크를 첨부로 위장한 사이트나 구글 URL 단축 기능을 이용해 또 다른 공격을 시도하기도 한다”며 “연결고리 형태로 계속 정보를 탈취할 것”이라고 우려했다. 

이와 함께 탈북자를 노린 카카오톡 공격도 지속적으로 탐지되고 있는 것으로 알려졌다. 본지에서 보도한 것처럼 뉴스 기사를 미끼로 단축 URL을 전송하거나 북한관련 앱 다운을 유도하는 방법 등으로 지인을 가장한 SNS 공격에 공을 들이고 있는 상황이다. 이로 인해 SNS 계정관리가 더욱 중요해질 것으로 보인다. 

따라서 이용자는 카카오톡에서 지인이 메시지를 전송하거나 말을 걸면 지인이 맞는지 확인과정을 거치는 것이 바람직하다. 특히, 계정 도용의 경우 이용자의 사진과 이름이 똑같기 때문에 지인이 정말 맞는지 추가적으로 확인할 필요가 있다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

http://www.boannews.com/media/view.asp?idx=58445

IntelligenceSecurityCERT

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

북 추정 해커, 비트코인·라이트코인·모네로 등 신생 코인에도 손 뻗쳐 
소니픽처스 해커가 사용한 악성코드와 유사...이미 수년전부터 공격 시도
가상화폐 거래소 후원 받아 방북한 로드맨 이슈와의 연관성 의혹도 제기

[보안뉴스 김경애 기자] 가상화폐 거래소를 노린 북한의 공격이 끊이지 않고 활개를 치는 양상이다. 금전적 이득을 취하기 위한 공격이 국내외 가상화폐 거래소 곳곳에서 탐지되고 있다. 

[이미지 = iclickart]

27일 한 보안전문가는 “북한 해커가 비트코인, 라이트코인, 모네로 등 메이저 코인뿐만 아니라 ICO 이후 상장하면 수십배 뛰어오르는 신생 코인에도 광범위하게 손을 뻗치고 있다”며 “금전 취득을 목적으로 한 해킹에 주력하고 있다”고 밝혔다.

가상화폐를 노린 공격 방법은 사전에 가상화폐 거래소나 가상화폐 관련 정보를 수집한 다음 이를 소스로 이용자들을 속이기 쉽게 사화공학적 기법을 접목시켜 각종 스피어피싱 메일을 발송하거나 APT 공격을 감행하는 방식이다. 

이와 관련 한국인터넷진흥원 이동근 단장은 “북한의 사이버공격은 스피어피싱과 APT 공격이 주를 이룬다”며 “공격대상의 경우 기존에는 방산 쪽에 치중했으나 민간으로는 넘어오면서 인터파크처럼 개인정보 탈취와 같은 금전적 이득을 취할 수 있는 곳과 최근에는 가상화폐거래소로 이어지고 있다. 이전보다 금전적 취득 목적이 강화된 양상”이라고 말했다. 

또한, 모의침투연구회 관계자는 “가상화폐가 북한의 주요 타깃이 되는 이유로는 유엔의 제재 여파와 충성심 경쟁에 있다”며 “SNS를 통해 가상화폐 정보 동향을 수집하고 가상화폐 거래소를 주요 타깃으로 삼아 스피어피싱 공격을 지속적으로 시도하고 있다”고 말했다.

해외에서도 북한의 가상화폐 거래소 공격은 큰 화두다. 글로벌 보안업체 파이어아이(FireEye)는 북한에게 비트코인과 가상화폐는 대북제재 이후 더 매력적인 통화 수단이 되고 있다고 밝힌 바 있다. 

파이어아이(FireEye) 아태 총괄인 브라이스 볼랜드(Bryce Boland) CTO는 “북한의 제재 조치는 사이버 범죄의 활동을 촉진할 것”이라며 “가상화폐 거래소 공격은 궁극적으로 금전적 탈취를 위한 이들의 훌륭한 수단이 될 수 있다”고 말했다. 핵무기 프로그램에 대한 국제 제재가 점점 더 심해짐에 따라 북한이 돈을 벌어들이는 불법적 수단의 한 사례일 뿐이라고 덧붙였다.

그렇다면 이들은 언제부터 가상화폐를 노리고 공격한 것일까? 이에 대해 보안전문가들은 북한의 가상화폐를 노린 공격은 이미 수년전부터 활발하게 이뤄졌다고 입을 모았다.

국내의 경우 가상화폐가 대중화되지 않던 초창기 시절부터 특정 가상화폐 거래소 대표에 대한 사전정보를 입수했고, 주요 공격 타깃으로 삼고 있다는 분석도 나오고 있다. 여기에는 국내에 유포된 랜섬웨어와도 상관관계가 있는 것으로 알려졌다. 익명을 요청한 한 보안전문가는 “국내에 가상화폐 거래소가 생기면서 랜섬웨어가 활개를 쳤다”며 “랜섬웨어는 외국에서나 통하는 악성코드로 국내에는 크게 문제가 되지 않았다. 그러다 가상화폐와 만나며 폭발적으로 급증했다”고 밝혔다. 

또한, 영화배우이자 전 농구선수인 데니스 로드맨(Dennis Rodman)을 언급하며, 북한은 일찌감치 가상화폐를 활용했다는 분석을 내놓았다. 이는 로드맨이 지난 2013년 북한을 방문했을 때 입었던 티셔츠와 트위터 글이 떠올리게 하는 대목이다. 

당시 로드맨은 대마초를 합법적으로 구매할 수 있는 암호화된 전자화폐 회사인 팟코인닷컴(potcoin.com)이 새겨진 검은색 티셔츠를 입었으며, 그는 트위터에 ‘후원해준 파코인닷컴에 고맙다’(I’m back! Thanks to my sponsor Potcoin.com)는 글을 올렸다. 

[이미지=팟코인(Potcoin)홈페이지]

이와 관련 익명의 보안전문가는 “농구선수 로드맨이 팟코인의 후원을 받아 북한에 방문했다”며 “사전에 호텔에서 팟코인이 새겨진 티셔츠를 입고 나오기로 사전에 합의한 것으로 알고 있다. 왜 그 회사가 북한에 방문하는 로그맨을 후원했는지 주목해야 한다. 이미 북한은 이전부터 자금추적이 쉽지 않은 가상화폐를 활발히 활용해온 데다가 북한이 팟코인의 VIP 고객이거나 연관성이 높을 가능성이 있다”고 말했다. 

보안업계 관계자는 “3.20 전산망 장애를 일으킨 그룹은 이미 2014년에 가상화폐를 채굴하는 악성코드를 배포한 적이 있다”며 “당시에는 실험단계였다면 소니픽쳐스 공격조직의 경우에는 2017년 국내 가상화폐 거래소를 본격적으로 공격한 것으로 보인다. 이는 소니픽쳐스 공격에 사용된 악성코드와 비슷한 악성코드가 국내 비트코인 거래서 공격에서도 사용됐기 때문이다. 이는 최근 나온 프루프포인트와 앞서 발표된 파이어아이 보고서에서 가상화폐 거래소 공격 배후로 북한을 지목하고 있는 것만 봐도 알 수 있다”고 귀띔했다. 

이에 따라 2018년은 채굴형 악성코드가 유행할 것으로 전망되고 있다. 기존의 랜섬웨어는 돈을 받는 걸 노렸다면, 내년부터는 돈을 직접 만들 수 있는 채굴형 악성코드가 유행할 것으로 보인다. 1년에 1~2건 정도 발견됐던 리눅스형 악성코드가 최근 들어 급증하고 있는 것도 기존 랜섬웨어와 달리 가상화폐를 직접 채굴하는 악성코드 감염과 관계가 깊다고 볼 수 있다. 

극동대학교 박원형 교수는 “가상화폐 출현과 같은 새로운 패러다임의 변화는 북한 해커가 금전적인 이익을 직접 획득하는 시대로 진입하고 있다는 증거”라며 “향후 비트코인과 같은 가상화폐를 직접 얻을 수 있는 채굴형 악성코드의 창궐은 PC 성능 저하를 통해 정부부처 및 공공기관 뿐만 아니라 기업의 전산망을 교란하거나 마비시킬 수도 있다는 의미다. 이를 통해 북한은 사회적 혼란과 금전적 이익을 모두 달성할 것으로 보인다. 이에 대응하기 위해서는 공공기관과 기업의 전산망 보호조치와 개인의 PC 보안 강화가 시급하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용] DDE 공격 북 추정 해커, 이번엔 OLE 악용해 공격

북한 추정 해커 : DDE, OLE, EPS, 고스트스크립트 등 기능 악용
워드나 한글 문서 파일에 기능 접목...악성파일 심어 이메일 통해 유포

[보안뉴스 김경애 기자] 북한 추정 사이버공격이 줄줄이 포착되고 있어 인터넷 이용자들의 각별한 주의가 필요하다. 해커는 DDE(Dynamic Data Exchange), EPS(Encapsulated Postscript), 고스트스크립트(Ghostscript), OLE(Object Linking and Embedding)와 같은 프로그램 기능을 워드문서나 한글문서에 악용해 악성파일로 만들었다. 이 악성파일은 이메일로 유포되며 곳곳에서 탐지되고 있다. 이에 따라 이메일 열람시 각별한 주의가 필요하다. 

[이미지=한국인터넷진흥원]

이와 관련해 본지는 지난 1일 DDE 기능을 이용한 공격에 대해 보도한 바 있다. 이 공격은 MS 워드 문서에 DDE 기능을 이용해 악성코드에 감염되도록 하고 있다. 그런데 이 기능을 이용한 공격과 함께 다른 기능을 악용한 악성파일이 지난 3월부터 최근까지 지속적으로 발견되고 있다. 

모의침투연구회에서 북한 사이버공격을 지속적으로 연구한 한 관계자는 “탈북자를 대상으로 DDE 기능과 악성 쉘 스크립트를 사용한 워드 DOC 파일 문서와 한글 악성파일이 모니터링을 통해 발견됐다”며 “기존에 발견된 악성파일에서 제목과 발신자만 다를 뿐 파월셀 악성 스크립트 등은 모두 동일하며, 3월 27일, 6월 23일, 10월 26일 총 3번의 공격 시도가 있었다”고 밝혔다. 

그런데 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE(Object Linking and Embedding) 기능을 악용해 공격한 정황도 포착됐다. 

이메일을 통해 유포된 한글 악성파일에는 ‘그 동안 여러 단체장님들과 애국시민님들의 헌신적인 노력으로 미흡한대로 북한인권법이 통과 되었다’며, ‘시행령 제정 및 북한인권재단 설립작업도 마무리 됐으니 단체장 연석회의를 열고 논의하자’는 내용이 담겨 있다.

이 악성파일은 지난 1일 발견됐으며, 한글문서에 OLE 기능을 악용해 정보수집용 악성코드를 넣어 악의적인 행위를 실행하도록 만들었다. 

OLE 기능은 MS 워드나 한글 문서 등과 같이 OLE가 지원되는 그래픽 프로그램에서 그림 등을 삽입할 수 있다. 이와 관련해 한 보안전문가는 “객체 삽입도 원래 있는 기능으로, 문서나 동영상 등을 넣을 수 있다”며 “공격자는 악성코드를 삽입해 사용자 클릭을 유도한다. 이는 과거에도 여러차례 발생한 이슈이며, 여기에는 사회공학적 기법이 사용된다”고 분석했다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스 입수]

이 뿐만 아니다. 북한 추정 해커는 안보 단체, 북한 인권 운동가, 북한 내용을 다루고 있는 기자, 탈북자 등 특정인을 타깃으로 한 APT 공격도 감행하고 있다. 이들을 대상으로 이메일에 악성파일을 첨부해 악성코드 감염을 유도하고 있다. 그중 한글 악성 파일의 경우 EPS와 고스트스크립트(Ghostscript) 기능을 악용한 정황이 포착됐다.

한 보안전문가는 “해커가 탈북자 등을 타깃으로 공격방식을 바꾼 것으로 보인다. EPS 취약점을 악용해 한글 내 문서에 문제가 있는 것처럼 창 모양 이미지를 넣어두고 사용자가 에러창으로 인식하게 해 클릭을 유도한다”며, “EPS 취약점 가지고 있는 문서는 사용자가 문서 읽는다고 내리면 실행된다. 이와 관련해서는 이미 2016년 한글과 컴퓨터 측에서 업데이트하며 기능을 빼버려 패치된 상태이며, 취약점 자체도 CVE-2015-2545”라고 설명했다. 이는 악성파일 감염자가 취약점이 패치되기 이전의 낮은 버전을 사용하고 있었다는 얘기다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스]

이어 지난해 12월 ‘김일성 평전’이라는 제목으로 칼럼을 작성한 한 기자에게도 APT 공격을 감행한 정황이 포착됐다. 첨부파일로 위장한 악성파일의 제목은 ‘김일성의 실체’라고 해서 수신을 유도하는 등 사전조사를 통해 정보를 수집한 후 사회공학적 수법을 이용하는 등 주도면밀하게 공격했다. 

해커는 문재인 정권의 친북 좌파 정책으로 해산됐지만 북한 독재를 무너뜨리기 위한 활동을 계속하고 있다는 문구와 함께 84.52MB 크기의 ‘김일성의 실체.zip’ 대용량 파일 1개를 첨부했다. 해당 파일은 100회 다운로드가 가능하다고 소개하며 10월 18일까지 30일 보관된다는 문구가 포함돼 있다. 

이처럼 북한 추정의 악성파일 유포가 지속적으로 발견되고 있는 만큼 각별한 주의가 필요하다. 

이와 관련해 한국인터넷진흥원 측은 “최근 MS오피스 DDE 기능 등을 이용한 악성코드 유포 사례(악성 이메일 발송)가 확인되고 있다”며 “보안담당자는 첨부 파일이 포함된 메일에 대한 검사를 강화하고, 출처가 불분명한 메일은 삭제 또는 스팸 처리하거나 118사이버민원센터로 신고해줄 것”을 당부했다. 

[이미지=한국인터넷진흥원]

MS 오피스의 DDE 기능을 사용하지 않을 경우 해제 방법(Office word 2013 기준)은 ①MS워드 실행 → ②메뉴에서 파일 선택 → ③옵션 → ④고급 → ⑤일반 → ⑥‘문서를 열 때 자동 연결 업데이트’ 체크 해제를 통해 피해를 예방할 수 있다. 
[김경애 기자(boan3@boannews.com)] http://www.boannews.com/media/view.asp?idx=57828

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT