정치권 관련 악성코드도 발견...APT 공격 대응체계 구축 필요

[보안뉴스 오병민] 문서를 이용해 특정 타깃을 지속적으로 노리는 APT(Advanced Persistent Threat) 공격이 점차 증가하고 있다. 특히, 최근에는 국내 정치권을 대상으로 한 악성코드도 등장하고 있어 긴장감이 더해지고 있다.

문서를 이용한 악성코드는 크게 두 가지가 있다. 첫 번째는 문서 취약점을 이용해 유포되는 악성코드이며, 두 번째는 문서파일로 위장한 악성코드이다.

이 같은 문서 악성코드는 주로 정치권과 주요시설(SCADA)을 노린 APT 공격에 주로 이용되고 있다. 문서 악성코드는 공격 타깃에 연관된 사람에게 직접 이메일을 보냄으로써 연관성 있는 사람들만 감염시켜 APT 공격의 성공률을 높일 수 있기 때문이다. 아울러 특정인만을 대상으로 감염시키기 때문에 불특정 다수를 노린 악성코드에 비해 보안업계의 감시를 피할 수 있다는 장점도 가지고 있다.

이와 관련 박나룡 보안전략연구소장은 “얼마 전 우리나라에서 열린 ‘2012 서울 핵안보 정상회의’를 이용한 악성코드와 티베트 NGO 단체를 노린 악성코드 등 주요기관과 단체를 노린 악성코드는 대부분 문서 악성코드였다”며, “이런 문서 악성코드는 특정인을 타깃으로 하고 있기 때문에 계정 탈취와 같은 금전 취득 목적보다는 국가기관이나 사회단체에 대한 정보수집과 공격을 진행하는 APT 공격에 이용될 가능성이 높다”고 말했다.

 

최근 주로 나타나는 문서 악성코드는 MS워드의 취약점을 이용한 악성코드와 문서파일을 위장한 악성코드이다. MS워드 취약점을 이용한 악성코드는 이미 수차례 발견된 바 있지만 최근 들어서는 윈도우 PC뿐만 아니라 맥 PC를 대상으로 한 악성코드도 점차 증가하고 있는 추세다.

이에  문종현 잉카인터넷 시큐리티대응센터 대응팀장은 “MS 오피스 보안취약점은 주로 윈도우 환경에서는 보안패치가 많이 진행돼 왔지만 맥 PC에서는 보안패치가 적극적으로 진행되지 않았다는 점을 공격자들이 노리고 있다”면서 “따라서 공격자들은 아직도 맥 PC에서 패치되지 않은 보안취약점을 끊임없이 노릴 가능성이 높다”고 강조했다.

▲국내 특정 정당과 연관된 문서에 악성코드가 삽입됐다. ⓒ보안뉴스

국내에서도 정치권이나 국가기관을 타깃으로 한 문서 악성코드도 조금씩 늘어나고 있는 추세다. 특히, 최근에는 국내 특정 정당과 연관된 문서 악성코드도 발견돼 국내 정치권을 타깃으로 한 APT 공격에 대한 주의가 요구되고 있다.

해당 악성코드는 특정 정당의 주요 문서 ‘HWP’ 파일을 위장한 ‘EXE’ 파일로 유포됐으며 내용이 특정 정당과 관련된 내용을 포함하고 있어 정당 관계자나 정당 지지자를 대상으로 한 악성코드로 추정되고 있다.

최상명 하우리 선행기술팀장은 “해당 악성코드는 HWP 파일로 보이지만 실제로는 실행파일로 유포되고 있었던 것으로 파악되며 해당 악성코드가 실행되면 HWP 파일이 실행됨과 동시에 악성코드도 설치돼 정보수집이나 공격에 이용될 수 있다”고 설명한다.

문서는 대부분 관련 있는 사람들끼리 공유하는 경우가 많기 때문에 타깃성 공격이 짙은 APT 공격에 이용된다면 큰 화를 불러올 수 있다. 예컨대 발전소나 댐과 같은 주요시설이나 정부기관 및 주요 단체를 타깃으로 한 APT 공격에 문서 악성코드가 이용될 경우 속수무책으로 당할 수 있기 때문이다. 더불어 대부분의 안티바이러스 백신이 문서파일보다는 실행파일 탐지에 주력하고 있기 때문에 발각될 확률도 크지 않다.

박나룡 소장은 “문서 악성코드는 공격대상이 관심을 가질만한 내용의 문서를 이용해 유포하고 이를 관련자들끼리 공유하도록 유도하는 사회공학적 기법을 이용하고 있기 때문에 강력한 보안체계가 구축돼 있더라도 쉽게 공격을 허용할 수 있다”면서 “다행히 APT 공격에 대한 위험성이 점차 알려지고 있고, 보안업계에서도 APT 공격 대응 솔루션이 조금씩 등장하고 있어 이를 최대한 활용하는 대응체계 구축이 필요하다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>