백도어 설치·C&C서버 접속...공격자 명령 수행·시스템 정보 수집 등

APT 공격범위, 기업·기관·공공단체까지 확대될 수 있어 ‘심각’

[보안뉴스 김경애] 최근 APT 공격용 악성문서가 지속적으로 발견되고 있는 가운데 특정기업을 겨냥한 악성문서가 또 다시 포착돼 주의가 요구된다.

이와 관련 보안전문기업 하우리(대표 김희천)는 특정기업을 겨냥한 악성문서가 발견됐다며 주의를 당부했다.

해당 악성파일은 exe 실행파일(*****상황 보고서.pdf.exe) 형태로 되어 있다. 때문에 윈도우 폴더 옵션 설정 중 ‘알려진 파일 형식의 파일 확장명 숨기기’를 비활성화 해야지만 exe 인 파일 확장자가 보여 해당 파일을 받은 PC 사용자의 경우, 육안으로는 악성코드라고 판단하기 어렵다.

또한 악성파일 실행시 정상 PDF 파일이 보여지는 동시에 백그라운드에서 악성코드가 실행되기 때문에 PC 사용자가 감염사실을 인지하기란 쉽지 않다.

특히 이번 APT 공격에 이용된 PDF 내용을 살펴보면  특정 기업의 임원·주요주주 특정증권 등 소유상황 보고서로 해당 기업에 맞는 문서로 위장했다. 따라서 증권 상황에 관심이 많은 임원 및 일반 주주들에게 메일에 첨부되어 배포됐을 가능성이 높다.

해당 악성코드에 감염됐을 경우 △백도어 악성코드 설치 △C&C 서버에 접속해 악성코드 제작자의 명령 수행 △시스템 정보(hostname, OS정보 및 버전 정보, IP 정보) 수집 △동작중인 프로세스 목록 수집 △프로세스 동작 확인 및 종료된다.

이와 관련 하우리 김정수 보안대응센터장은 “이번에 접수된 악성파일의 특징은 APT 공격범위가 정치적, 안보적 성향에서 벗어나 사회전반에 걸쳐 기업들, 기관들, 사회 공공단체들까지 확대될 가능성에 심각성을 느껴야 한다”며 “국가적 차원에서 현재 발생하고 있는 보안위협들에 대한 대비가 필요하며, 이를 위해서는 범국민적 보안의식 제고와 점검, 보안규제 강화가 필요할 것으로 생각된다”고 말했다.

이와 같은 APT 공격용 악성문서는 앞서 6월 17일에도 발견된 바 있다. 공격자가 특정 단체를 타깃으로 수집한 개인정보를 이용해 해당 단체의 소속된 인물로 위장해 ‘APISAT 2014 참가신청서.doc’ 파일을 첨부해 전송한 것.

해당 파일은 워드 문서 취약점을 이용한 것으로 취약점에 노출된 워드문서 실행 시 악성코드가 생성 및 실행된다. 악성코드에 감염된 PC는 C&C 서버의 명령에 따라 내부 기밀정보 및 시스템 정보를 탈취된다.

이처럼 APT 공격용 악성문서가 잇따라 발견되고 있다. 연이은 APT 공격의 동일조직 가능성과 공격기법과 관련해 김 센터장은 “동일범인지는 확인할 순 없지만 공격기법을 살펴볼 때 악성코드의 형태는 다르다”며 “이번에 발견된 악성문서의 경우 PDF 형식을 뜬 exe 실행파일로 실행만 하면 다 감염된다. 그러나 앞서 발견된 악성문서의 경우 취약점을 이용해 워드문서 안에 악성코드를 심었다. 취약한 워드문서 버전이라면 악성코드에 감염될 수 있어 다른 공격 형태를 띤다”고 설명했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>