[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용] DDE 공격 북 추정 해커, 이번엔 OLE 악용해 공격

북한 추정 해커 : DDE, OLE, EPS, 고스트스크립트 등 기능 악용
워드나 한글 문서 파일에 기능 접목...악성파일 심어 이메일 통해 유포

[보안뉴스 김경애 기자] 북한 추정 사이버공격이 줄줄이 포착되고 있어 인터넷 이용자들의 각별한 주의가 필요하다. 해커는 DDE(Dynamic Data Exchange), EPS(Encapsulated Postscript), 고스트스크립트(Ghostscript), OLE(Object Linking and Embedding)와 같은 프로그램 기능을 워드문서나 한글문서에 악용해 악성파일로 만들었다. 이 악성파일은 이메일로 유포되며 곳곳에서 탐지되고 있다. 이에 따라 이메일 열람시 각별한 주의가 필요하다. 

[이미지=한국인터넷진흥원]

이와 관련해 본지는 지난 1일 DDE 기능을 이용한 공격에 대해 보도한 바 있다. 이 공격은 MS 워드 문서에 DDE 기능을 이용해 악성코드에 감염되도록 하고 있다. 그런데 이 기능을 이용한 공격과 함께 다른 기능을 악용한 악성파일이 지난 3월부터 최근까지 지속적으로 발견되고 있다. 

모의침투연구회에서 북한 사이버공격을 지속적으로 연구한 한 관계자는 “탈북자를 대상으로 DDE 기능과 악성 쉘 스크립트를 사용한 워드 DOC 파일 문서와 한글 악성파일이 모니터링을 통해 발견됐다”며 “기존에 발견된 악성파일에서 제목과 발신자만 다를 뿐 파월셀 악성 스크립트 등은 모두 동일하며, 3월 27일, 6월 23일, 10월 26일 총 3번의 공격 시도가 있었다”고 밝혔다. 

그런데 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE(Object Linking and Embedding) 기능을 악용해 공격한 정황도 포착됐다. 

이메일을 통해 유포된 한글 악성파일에는 ‘그 동안 여러 단체장님들과 애국시민님들의 헌신적인 노력으로 미흡한대로 북한인권법이 통과 되었다’며, ‘시행령 제정 및 북한인권재단 설립작업도 마무리 됐으니 단체장 연석회의를 열고 논의하자’는 내용이 담겨 있다.

이 악성파일은 지난 1일 발견됐으며, 한글문서에 OLE 기능을 악용해 정보수집용 악성코드를 넣어 악의적인 행위를 실행하도록 만들었다. 

OLE 기능은 MS 워드나 한글 문서 등과 같이 OLE가 지원되는 그래픽 프로그램에서 그림 등을 삽입할 수 있다. 이와 관련해 한 보안전문가는 “객체 삽입도 원래 있는 기능으로, 문서나 동영상 등을 넣을 수 있다”며 “공격자는 악성코드를 삽입해 사용자 클릭을 유도한다. 이는 과거에도 여러차례 발생한 이슈이며, 여기에는 사회공학적 기법이 사용된다”고 분석했다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스 입수]

이 뿐만 아니다. 북한 추정 해커는 안보 단체, 북한 인권 운동가, 북한 내용을 다루고 있는 기자, 탈북자 등 특정인을 타깃으로 한 APT 공격도 감행하고 있다. 이들을 대상으로 이메일에 악성파일을 첨부해 악성코드 감염을 유도하고 있다. 그중 한글 악성 파일의 경우 EPS와 고스트스크립트(Ghostscript) 기능을 악용한 정황이 포착됐다.

한 보안전문가는 “해커가 탈북자 등을 타깃으로 공격방식을 바꾼 것으로 보인다. EPS 취약점을 악용해 한글 내 문서에 문제가 있는 것처럼 창 모양 이미지를 넣어두고 사용자가 에러창으로 인식하게 해 클릭을 유도한다”며, “EPS 취약점 가지고 있는 문서는 사용자가 문서 읽는다고 내리면 실행된다. 이와 관련해서는 이미 2016년 한글과 컴퓨터 측에서 업데이트하며 기능을 빼버려 패치된 상태이며, 취약점 자체도 CVE-2015-2545”라고 설명했다. 이는 악성파일 감염자가 취약점이 패치되기 이전의 낮은 버전을 사용하고 있었다는 얘기다. 

▲이메일로 유포된 북한 추정의 악성파일[이미지=보안뉴스]

이어 지난해 12월 ‘김일성 평전’이라는 제목으로 칼럼을 작성한 한 기자에게도 APT 공격을 감행한 정황이 포착됐다. 첨부파일로 위장한 악성파일의 제목은 ‘김일성의 실체’라고 해서 수신을 유도하는 등 사전조사를 통해 정보를 수집한 후 사회공학적 수법을 이용하는 등 주도면밀하게 공격했다. 

해커는 문재인 정권의 친북 좌파 정책으로 해산됐지만 북한 독재를 무너뜨리기 위한 활동을 계속하고 있다는 문구와 함께 84.52MB 크기의 ‘김일성의 실체.zip’ 대용량 파일 1개를 첨부했다. 해당 파일은 100회 다운로드가 가능하다고 소개하며 10월 18일까지 30일 보관된다는 문구가 포함돼 있다. 

이처럼 북한 추정의 악성파일 유포가 지속적으로 발견되고 있는 만큼 각별한 주의가 필요하다. 

이와 관련해 한국인터넷진흥원 측은 “최근 MS오피스 DDE 기능 등을 이용한 악성코드 유포 사례(악성 이메일 발송)가 확인되고 있다”며 “보안담당자는 첨부 파일이 포함된 메일에 대한 검사를 강화하고, 출처가 불분명한 메일은 삭제 또는 스팸 처리하거나 118사이버민원센터로 신고해줄 것”을 당부했다. 

[이미지=한국인터넷진흥원]

MS 오피스의 DDE 기능을 사용하지 않을 경우 해제 방법(Office word 2013 기준)은 ①MS워드 실행 → ②메뉴에서 파일 선택 → ③옵션 → ④고급 → ⑤일반 → ⑥‘문서를 열 때 자동 연결 업데이트’ 체크 해제를 통해 피해를 예방할 수 있다. 
[김경애 기자(boan3@boannews.com)] http://www.boannews.com/media/view.asp?idx=57828

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT