최근 이슈로 클릭 유도하는 전형적인 사회공학적 기법의 APT 공격 

[보안뉴스 권 준] 최근 한글과 컴퓨터 사의 워드프로세서인 한글과 MS 사의 워드문서 취약점을 악용한 악성코드가 잇따라 발견돼 사용자들의 각별한 주의가 요구된다.

먼저 한글문서의 경우 ‘북중경제협정’이라는 한글파일이 포함된 이메일이 유포되고 있는 사실을 하우리의 APT 공격탐지 솔루션 ‘바이로봇 APT Shield’가 탐지한 것으로 알려졌다. 이렇듯 최근 한글문서의 취약점을 악용한 악성코드가 지속적으로 유포되고 있는 것.

이와 함께 대만 중앙기상국과 일본 자위대 등을 타깃으로 한 MS의 워드문서 취약점 악성코드도 잇따라 발견돼 한글뿐만 아니라 첨부된 워드문서에 대해서도 주의가 필요할 것으로 보인다. 

대만 중앙기상국을 타깃으로 한 이번 악성코드의 경우 기상청의 태풍 DB를 사용하는 ‘기상서비스 신청서’ 워드문서에 원격제어용 악성코드를 심어서 지난 9월 20일 이메일로 발송됐으며, 대만 중앙기상국의 온라인 상담창구 이메일 주소로 타깃 공격을 감행하는 것으로 보인다고 하우리 측은 밝혔다.

악성코드가 포함된 이메일 제목은 ‘기상 서비스 신청서’이고, 첨부파일에는 ‘중앙기상청 태풍 데이터베이스 계정 신청서.doc’와 ‘개인정보 사용동의서.doc’라는 워드문서가 포함돼 있다.

악성코드가 포함된 워드문서 열람 시 취약점을 이용해 ‘PittyTiger RAT’이라는 이름의 악성코드가 생성·실행될 수 있다는 것. 이를 통해 명령어를 실행할 수 있고, PC 화면 캡처 등의 원격제어가 가능하다는 게 하우리 측의 설명이다. 

이 뿐만이 아니다. 일본 방위성 자위대(Self-Defense Forces of Japan Ministry of Defense) 내 공무원들을 타깃으로 한 또 다른 워드문서 취약점도 발견된 것으로 드러났다.

이번 악성코드는 국방부에 현재 중국 내 반일시위와 관련하여 중국 체류 일본인 사상자 명단의 워드문서 첨부파일을 이메일로 발송하는 형태를 띠고 있는데, 이는 최근 이슈를 이용해 첨부파일 클릭을 유도하는 전형적인 사회공학적 기법의 APT 공격이라고 할 수 있다.

‘중국 체류 일본인 사상자 명단’이라는 이메일 제목에  “최근 중국 국내에서센카쿠 열도를 지켜라!, 일본 제품을 보이콧하자라고 외치며 대규모 반일시위가 벌어지고, 각지에서 일본계 기업과 상점이 폭도화한 중국인에게 습격 및 방화나 약탈피해를 당했습니다. 재류 일본인의 사상자 명단을 첨부하오니 확인하십시오”라는 내용이 포함돼 있다. 이번 워드문서를 열람할 경우 C&C 서버 접속 및 원격제어가 가능한 악성코드에 감염될 수 있다는 것. 

이와 관련 최상명 하우리 선행연구팀장은 “한글, 워드 등 문서 파일을 이용하여 악성코드를 유포할 수 있는 취약점이 꾸준히 발견되고 있으며 실제로 이를 이용한 타깃 공격 사례가 많다”며, “문서파일 취약점을 이용한 악성코드의 경우 기존의 시그니처 기반의 백신으로는 탐지하는 데 한계가 있으며, 실제로 대부분의 백신들이 최초 발견 시 진단을 하지 못한다”고 우려했다.

이에 최 팀장은 “항상 보안 업데이트를 최신으로 유지하는 것과 함께 최근 출시된 행위기반의 APT 대응 솔루션을 사용하면 문서 취약점 악성코드를 효과적으로 탐지 및 차단할 수 있다”고 설명했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>