맞춤 악성코드 유포·동작방식 진화...타깃형 악성코드 증가

“실행 애플리케이션 인증·통제 및 접속 가능한 웹사이트 최소화”

[보안뉴스 김태형] 지난 연말 발생한 한국수력원자력(이하 한수원)의 원전관련 자료유출 사건은 ‘이메일 피싱’ 공격이 사용된 것으로 알려졌다.

최근 정부합동수사단의 분석결과, 원전 도면 등 인터넷 블로그와 SNS를 통해 유출된 자료는 원전반대그룹이라는 해커조직에서 한수원 전·현직자와 협력사 관계자 등의 이메일을 해킹해 빼낸 것으로 조사됐다.

▲ 신종 또는 특정 인프라 맞춤형 악성코드에 따른 피해를 최소화 위해서는 관리자 또는 백신      회사에서 인증·승인한 애플리케이션만 허용해야 하고 폐쇄망과 인터넷망에 대한 철저한      분리 및 보안조치가 필요하다.

공격자가 보낸 이메일을 한수원 퇴직자가 읽는 즉시 컴퓨터가 악성코드에 감염되도록 하는 방식으로, 원격제어가 가능한 이 악성코드는 이메일 아이디와 비밀번호는 물론 컴퓨터 내부에 있는 자료까지 빼낼 수 있다.

또한, 이번 한수원 사건에서는 마스터 부트 레코드(이하 MBR)를 삭제하도록 설계된 악성코드에 감염된 것으로 분석됐다. 이에 대해 글로벌 보안기업인 트렌드마이크로는 “해당 악성코드를 분석한 결과, 이번 한수원의 악성코드는 한글 워드프로세서(HWP) 취약점을 통해 감염됐으며, 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격기법이 사용됐다”면서 “공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작됐으며 첨부파일 실행 시 2가지 악성코드를 설치하는 방식으로 진행됐다”고 밝혔다.

이와 관련 안랩 측은 2015년에는 공격대상별 맞춤 악성코드 유포와 동작방식의 진화에 따른 타깃형 악성코드 증가와 함께 악성코드의 유포 및 동작방식도 더욱 다양화될 것으로 예측했다.

예를 들면 ‘스피어피싱(Spear Phishing, 작살 낚시)’ 이메일을 연말에는 송년회 모임 안내로, 연초에는 새해인사로, 해당 시기에 맞춰 발송하거나 첨부파일명과 내용도 실제 모임을 안내하는 문서로 만들어 악성코드를 유포시키는 방식이다.

이를 통해 유출하는 데이터도 기존 문서·이미지·압축파일 등은 물론 동영상·음성 파일 등 다양한 데이터 형식이 추가될 것으로 예상된다는 분석이다. 동작방식도 감염 이후에도 수시 ‘셀프 업데이트’를 통해 보안제품의 탐지를 피하는 방식으로 진화하고 있다고 안랩 측은 덧붙였다.

스피어피싱 이메일은 불특정 다수가 아닌 특정인(조직)을 표적으로, 사회공학적 방법으로 위장한 메일을 통해 악성 웹사이트로 유도 또는 악성 첨부파일로 악성코드에 감염시키는 일종의 온라인 사기행위로, APT 공격의 시작점으로 자주 등장하고 있는 공격방식이다.

또 다른 글로벌 보안기업인 카스퍼스키랩은 “한수원 공격에 이용한 악성코드를 차단하기 위해서는 백신 도입과 운영은 기본이며 이 외에 모든 컴퓨터에서 실행되는 애플리케이션과 매체를 모두 관리할 수 있는 애플리케이션 제어 기능과 같은 고급 기능이 필요하다”면서 “즉 시큐어 OS 환경과 같이 관리자가 인증한 애플리케이션 또는 백신 회사가 승인한 애플리케이션만 허용해 신종 또는 특정 인프라 맞춤형 악성코드를 최대한 차단할 수 있어야 한다”고 강조했다.

이와 더불어 향후 데이터 관리의 포커스가 온라인으로 이동할 것으로 예상되는 만큼 기업 내부의 폐쇄망뿐 아니라 인터넷망에서도 웹사이트 방문에 의한 악성코드 감염을 막기 위한 일련의 조치가 필요하다고 카스퍼스키랩 측은 덧붙였다.

무엇보다 이러한 이메일 피싱 등을 통한 악성코드 감염 피해를 최소화하기 해서는 알 수 없는 출처의 이메일을 열지 말아야 하고 허가되지 않았거나 불분명한 애플리케이션 설치는 피해야 한다. 또한, 중요 인프라 환경에서는 접속 가능한 웹사이트를 최소한으로 유지하고, 이메일 첨부파일의 확장자를 강제로 변경하는 등의 보안 통제 및 관리가 필요하다는 게 보안전문가들의 공통된 지적이다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>