이슈메이커스랩 “3.20 조직 움직임 다시 포착, 악성코드 유포”_
윈도우·플래시 취약점 노려...윈도우XP 지양, 보안 업데이트 필수_
3.20사이버테러 2주년, 불안감 조성도 방심도 절대 금물

[보안뉴스 권 준] 전 국민을 사이버테러 공포에 휩싸이게 했던 2013년 3.20사이버테러가 발생한 지 2년이 지난 가운데 최근 3.20사이버테러를 일으킨 것으로 추정되는 북한의 해커조직이 국내의 북한관련 사이트들을 해킹해서 방문자들에게 악성코드를 유포하고 있는 것이 포착됐다.

한수원 사건 수사발표 등을 통해 북한의 사이버테러 위협에 대한 관심이 높아지고 있는 상황에서 북한관련 사이트를 자주 방문하는 것을 노리고 악성코드를 심은 것으로 보인다. 

이슈메이커스랩(리더 사이먼 최)에 따르면 지난 2월 말부터 해당 조직의 움직임이 포착되기 시작한 이래 지난주까지도 이들에 의해 제작된 최신 악성코드가 계속 발견되고 있다.

이들 조직들은 아주 짧은 기간 동안에만 해당 사이트에 악성코드를 심었다가 빼는 방식으로 소수의 사람들을 감염시키고 있는데, 이는 보안업체들의 감시 및 사전탐지를 우회하기 위한 것으로 추정된다.

유포된 악성코드는 기존 3.20사이버테러 당시 유포된 악성코드와 전체적인 동작 구조에서는 크게 유사하나 세부 코드가 많이 변형되어 제작된 것으로 분석됐다. 이는 기존에 알려진 악성코드들에 대한 탐지를 우회하기 위한 것이라는 게 해당 악성코드를 분석한 이슈메이커스랩 측의 설명이다. 

하지만 이들이 해외에 구축한 C&C(Command&Control) 서버는 지난해 7~8월에 3.20 조직이 사용했던 C&C 서버와 유사한 스타일로 운영되고 있는 것으로 알려졌다.

해당 악성코드에 감염되면 PC에서 한글, PDF, 워드, 엑셀 등 문서 파일명을 수집해 C&C 서버로 전송하며, 추가로 악성코드를 다운받아 실행하게 된다.

이들 조직이 악성코드를 유포하기 위해 사용하는 취약점은 현재 확인된 것이 총 2종으로 플래시 취약점(CVE-2014-0569)와 OLE 취약점(CVE-2014-6332)이다. 해당 취약점에 대한 패치는 나와 있으나, 패치를 하지 않은 사용자가 이들이 노리는 웹사이트에 접속하면 즉시 악성코드에 감염된다.

그러나 OLE 취약점(CVE-2014-6332)은 윈도우XP에서는 더 이상 보안 패치가 제공되지 않기 때문에 윈도우XP에서 인터넷 익스플로러를 사용할 경우 누구든지 해당 웹사이트에 접속하면 악성코드에 감염될 수 있다.

이와 관련 이슈메이커스랩 사이먼 최 리더는 “바로 2년 전 3.20사이버테러 당시에도 웹을 통해 감염된 사람을 통해서 기업 내부망 전체가 악성코드에 감염되어 큰 피해를 입은 바 있다”며, “따라서 조직 내부에 한 사람 한 사람이 웹을 통해 악성코드에 감염되지 않도록 주의해야만 3.20사이버테러와 같은 대형 사이버재난이 재발하지 않을 것”이라고 설명했다.

따라서 더 이상 보안패치가 지원되지 않는 윈도우XP는 최대한 사용을 자제하고, 플래시와 윈도우 운영체제에 대한 보안 업데이트는 반드시 최신 상태를 유지해야 할 것으로 보인다.

한편, 3.20사이버테러를 일으킨 조직이 다시 움직이기 시작한 정황을 지속적으로 추적하고 해당 악성코드를 분석한 이슈메이커스랩은 전 세계에서 최초로 해당 조직의 실체를 밝혀낸 사이버전 악성코드 전문 추적그룹이다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>