1년에 걸친 北 사이버전...외교·우주항공·금융·노동 분야 협회·학회·조합 우회 공격
전자결제·인증·암호화·리포팅·웹메일·그룹웨어 등 국내 소프트웨어 액티브X 대상
CWIC사이버전연구센터, 보안에 상대적으로 취약한 액티브X 사용자제 권고

[보안뉴스 원병철 기자] 지난 1년 동안 북한이 꾸준하게 한국을 대상으로 사이버전을 펼쳐온 것으로 드러났다. 보안전문가들로 구성된 CWIC사이버전연구센터는 30일 보고서를 통해 북한이 액티브X(ActiveX) 프로그램의 제로데이 취약점을 이용해 꾸준하게 한국의 주요기관과 기업, 협회와 학회 등을 계속 공격해 왔다고 강조했다.

CWIC사이버전연구센터는 북한으로 추정되는 해커조직이 2016년 6월부터 2017년 5월 현재까지 약 1년여 간에 걸쳐 한국의 외교, 우주항공, 북한, 통일, 의회, 국회, 노동, 금융 등과 관련된 협회·학회·조합 등 10개의 웹사이트를 통해 방문자를 대상으로 악성코드를 유포하는 워터링 홀 공격을 수행했다고 밝혔다.


해당 분야의 기관 및 기업을 대상으로 한 직접적인 공격이 점차 어려워지자, 이들은 상대적으로 공격이 쉬운 협회·학회·조합 등을 대상으로 함으로써 우회 측면 침투를 감행한 것이다. 해당 분야 방문자들을 악성코드에 감염시키기 위해 전자결제, 인증, 암호화, 리포팅, 웹메일, 그룹웨어 등 10개의 국내 소프트웨어의 액티브X 프로그램을 이용했다.

이중 일부 액티브X 프로그램은 국내 많은 사용자들의 PC에 설치되어 있으며, 악성코드 유포 당시 패치가 존재하지 않는 제로데이 취약점을 사용하여 악성코드를 유포한 것으로 드러났다. 또한, 특정 시간대에 아주 짧은 시간 동안만 유포하거나 특정 사용자만을 식별하여 유포하는 방식으로 장기간 들키지 않고 악성코드를 유포할 수 있었던 것으로 알려졌다.

최근 공격에 사용된 악성코드, 북한 소행으로 결론 난 악성코드와 유사
이렇게 유포된 악성코드는 기존(2016년)에 수사기관이 북한 소행으로 결론지은 국내 보안업체 및 국내 대기업을 대상으로 유포된 악성코드와 매우 유사하다는 게 CWIC사이버전연구센터 측의 설명이다. 또한, 북한 소행으로 의심되나 아직 사건이 종결되지 않은 국내 ATM 해킹 사건에서 사용된 악성코드와도 연관성이 존재한다.

지난 2013년 북한의 3.20 방송·금융 해킹사건 당시, 수개월 전부터 기관 침투에 국내 금융보안모듈의 액티브X 취약점이 사용됐으며, 이를 통해 향후 하드파괴라는 2차 피해까지 발생했었다. 이번 ‘Operation GoldenAxe’, 일명 ‘황금도끼’ 작전을 통해서도 향후 2차 피해까지 연결이 예상될 수 있어 주의가 각별한 필요하다. 이에 CWIC사이버전연구센터는 보안에 상대적으로 취약한 액티브X에 대한 사용 자제를 권고했다.

CWIC사이버전연구센터는 북한으로 추정되는 세력이 10개의 웹사이트를 해킹해 방문자들을 대상으로 악성코드를 유포했으며, 각각 △외교 △항공우주 △북한 △통일 △노동 △의회 △금융 △병원 등과 관련된 사이트였다.

또한, 이들은 10개의 액티브X 프로그램을 대상으로 악성코드 유포에 활용했으며, 이중 일부 액티브X 취약점은 악성코드 유포 시점에 패치가 존재하지 않은 제로데이 취약점이었다. 악용된 액티브X 프로그램은 △전자결제 플러그인 모듈 △인증 플러그인 모듈 △그룹웨어 모듈 △관리자 권한 기능 처리 컴포넌트 모듈 △리포팅 솔루션 모듈 △구간암호화솔루션 모듈 △컨트롤 모듈 △웹메일 솔루션 모듈 △전자결제시스템 △브라우저 확장모듈 △암호화 솔루션 업데이트 모듈 등이었다.

CWIC사이버전연구센터가 조사한 바에 따르면, 이번 조사에서 발견된 악성코드들은 기존에 북한 소행으로 수사기관에서 발표한 사건들의 악성코드와 유사하다. 특히, 악성코드들은 사용자PC를 원격에서 제어해 정보를 탈취하거나 추가 악성코드를 전송할 수 있는 것이 특징이다. 다음은 이번에 발견된 악성코드와 기존 북한 소행으로 발표됐거나 추정되는 사건과의 유사점을 보다 구체적으로 비교해 봤다.

①국내 대기업 해킹에 사용된 악성코드와 유사
앞서 그림 1에서 좌측의 악성코드는 국내 대기업 해킹 사건에서 사용된 악성코드로 수사기관이 북한 소행으로 발표한 악성코드이며, 우측의 악성코드는 이번 Operation GoldenAxe 작전에서 유포된 악성코드다. 비교해 보면, 악성코드에 사용된 고유한 암복호화 로직이 동일하며, 그밖에 또 다른 악성코드에서도 명령제어에 사용된 프로토콜이 동일한 부분이 발견됐다.


②국내 보안업체 해킹에 사용된 악성코드와 유사
그림 2에서도 상단의 악성코드는 국내 보안업체의 코드서명 탈취사건에서 사용된 악성코드로 수사기관이 북한 소행으로 발표한 악성코드이며, 하단의 악성코드는 이번 Operation GoldenAxe 작전에서 유포된 악성코드이다. 두 개의 악성코드는 동일한 암복호화 방식과 C&C 명령 체계를 사용하고 있다.


그림 2의 두 악성코드를 각각 복호화 하면, 그림 3과 같이 동일한 C&C 명령체계를 사용하고 있다는 것을 확인할 수 있다.

③국내 ATM 해킹 사건에서 발견된 악성코드와 연관(북한 소행 의심)
이번 Operation GoldenAxe 작전 중 악성코드를 유포한 OOOO의회 OOOOO 웹서버는 국내 ATM 해킹 사건에서 발견된 악성코드의 C&C 서버 주소와 일치한다.

북한의 주요 공격통로는 액티브X
CWIC사이버전연구센터는 북한이 주로 국내 소프트웨어의 액티브X 프로그램의 제로데이 취약점을 이용해 악성코드를 유포하고 있다고 설명했다. 특히, 액티브X는 국내의 기관 및 기업 등에서 많이 사용해 국내 사용자들의 PC에 많이 설치되어 있으며, 액티브X 취약점을 찾는 것은 다른 소프트웨어들에 비해 상당히 쉬운 편으로, 북한 입장에서는 악성코드를 유포하는 공격에 활용하기엔 최적의 무기라는 것이다.

특히, 북한 소행으로 밝혀진 2013년 3.20 방송·금융 해킹사건도 최초 방송·금융사에 침입할 때 국내에서 많이 사용하고 있는 액티브X 금융보안 모듈의 취약점을 통해 침투한 바 있다고 CWIC사이버전연구센터는 경고했다.

최근 북한의 잦은 사이버 공격에 의해 주요 기관 및 기업들이 보안을 강화함에 따라, 직접적인 침투가 어려운 현 상황에서 협회나 조합 등을 통해 기관 및 기업의 일부 직원들을 감염시키는 우회 측면 공략으로 본진에 침투할 수 있는 기회를 노린 셈이다. 이에 무엇보다 보안이 상대적으로 취약한 액티브X의 사용을 자제할 필요가 있다.


이러한 가운데 리포팅 솔루션 전문업체 엠투소프트(M2Soft)의 액티브X 기반 제품에서 임의코드 실행이 가능한 취약점이 발견됐다.

특히, 해당 취약점은 아직 패치가 이루어지지 않은 제로데이 취약점으로, 영향을 받는 제품은 Crownix Report 6.0, Report Designer 5.0(5.0.0.163 이상)으로 RDVistaSupport.dll 1.0.0.20 이하 버전을 사용하는 액티브X가 해당된다. 해당 제품의 사용자는 엠투소프트의 패치가 발표될 때까지 영향 받는 제품 버전을 확인한 후, 프로그램을 삭제하는 것이 바람직하다고 한국인터넷진흥원 측은 공지했다.

한편, 이번 황금도끼 작전에 관한 보고서를 발표한 CWIC사이버전연구센터(Cyber Warfare Intelligence Center, CWIC)는 국내 백신업체 등 전·현직 악성코드 분석 전문가 및 금융ISAC, 대기업 보안팀, 기반시설 보안담당, 사이버사령부 군 출신 등 다양한 보안 분야의 전문가들을 자문단으로 구성해 북한의 사이버전 수행내역을 감시하고 연구하는 학술센터다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>