북한 동해위성 발사대 건설 내용 메일 전송, APT 공격용 문서 발견
공격자, NBoard 게시판에 계정 개설해 유출정보 취합
제2의 사이버공격 위한 사전정보 활용가능성 제기

[보안뉴스 김경애] 북한의 동해위성 발사대 건설내용의 APT 공격용 악성문서가 잇달아 발견돼 메일 수신 시 이용자들의 각별한 주의가 요구된다.

특히 공격자는 북한 정세에 관심이 많은 국가안보관련 기관이나 특정조직을 타깃으로 했기 때문에 메일이 전송된 기관의 시스템환경, 정보보안에 비상등이 커졌다.

이와 관련 보안전문기업 하우리(대표 김희천)에 따르면 최근 APT 공격용 악성문서가 지속적으로 발견되고 있다며 해당문서에는 북한의 동해위성 발사대 건설을 이용한 악성코드가 포함돼 있다고 밝혔다.

발견된 악성코드는 북한의 정세와 안보 등의 변화를 예의주시하고 있는 특정조직이나 국가기관에게 발송된 것으로 추정되며, 주로 북한의 동해위성 발사대 건설과 관련된 내용이다.

해당 메일에는 첨부파일로 정상문서에 악성코드가 포함되어 있다. 따라서 해킹메일을 수신한 사용자는 아무런 의심없이 첨부파일을 열람해 악성코드에 감염됐을 것으로 보인다.

사용자가 악성코드에 감염됐을 경우, 북한의 동해위성 발사대 건설의 시작을 재개했다는 내용의 정상 영문문서(.doc)가 사용자에게 보여진다. 해당 문서에는 북한의 무수단리 동해위성 발사대 시설 확장과 관련된 사진이 포함되어 있다(제목 : Resume construction of new facilities at the Tonghae Satellite Launching Ground in North Korea).

또한 화면에는 정상문서가 보여지는 동시에 사용자 모르게 악성코드가 생성되며, 감염된 PC의 논리 드라이브 정보와 현재 시스템에서 실행되고 있는 프로세스의 정보를 압축해 특정 게시판에 게시물로 등록한다.

실제로 NBoard 무료 게시판에는 유출된 정보가 등록돼 있다. 이는 해커가 해당 게시판을 통해 취합된 국가안보와 관련된 조직내부자의 중요정보를 한 눈에 확인할 수 있다는 것을 의미한다.

이를 발견한 하우리 측 관계자는 본지와의 인터뷰에서 이번 사건의 경우 북한과 관련된 특정조직 명의로 메일 계정을 개설했으며, 국가안보와 관련된 국내 중요기관을 타깃으로 이용했다고 설명했다.

이렇듯 북한의 정세에 관심이 많은 국가안보 기관이나 관련된 특정조직을 타깃으로 했기 때문에 시스템환경 정보가 유출될 우려가 커지고 있다.

이와 관련 하우리 김정수 보안대응센터장은 “APT 공격용 악성코드이기 때문에 특정조직이나 국가기관으로 발송되었을 것으로 판단되며, 해당 악성코드 감염시 시스템환경 정보를 유출함으로서 조직내부에서 사용하고 있는 특정프로그램과 프로그램 설치경로를 파악할 수 있다”며 이는 제2의 사이버공격을 위한 사전정보로 활용될 가능성이 높다고 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>