• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[긴급] 가상화폐 ‘비트코인’ 열풍 편승한 이메일 해킹 공격 출현 2017.07.04

워드·한글 문서로 위장한 악성파일 첨부해 특정인 타깃 공격
비트코인 거래 업무 법인 대표 등 가상화폐 관련자들에게 이메일 발송
2014년 소니픽처스 해킹 당시 사용된 악성코드들과 유사성 높아

[보안뉴스 권 준 기자] 최근 비트코인 거래 업무를 보는 법인 대표를 대상으로 스피어피싱 공격이 발생하는 등 비트코인과 관련한 내용으로 악성파일이 여럿 유포된 정황이 포착되어 각별한 주의가 요구되고 있다.

통합보안 기업 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면 비트코인 관련 내용을 포함한 악성파일이 이메일에 첨부되어 특정인에게 보내지는 이른바 스피어피싱(Spear Phishing) 공격기법이 사용된 것으로 드러났다. 이번 스피어 피싱 공격에는 워드(DOCX) 문서와 한글(HWP) 문서 등에 삽입된 EPS(Encapsulated PostScript) 개체의 보안취약점을 이용하고 있는 것으로 분석됐다.

스피어피싱 공격은 특정인을 대상으로 이들의 개인정보를 캐내기 위한 피싱 공격을 지칭하는 용어로, 물 속에 있는 물고기를 작살로 잡는 작살 낚시(spear-fishing)에 빗댄 것이다. 불특정 다수를 대상으로 하는 일반적인 피싱(Phishing)과 구분된다.

▲ 악성 DOCX 문서가 실행된 후 보여지는 화면[자료=이스트시큐리티]


먼저 워드 악성문서를 악용한 사례로 해당 악성문서는 word/media 하위 경로에 ‘image1.eps’ 파일이 포함되어 있는 것으로 드러났다. EPS는 어도비(Adobe) 포스트스크립트 언어에서 사용하는 그래픽 파일 포맷으로 캡슐화된 형태를 통해 특정 개체 내에 삽입이 가능하다. 악성 포스트스크립트는 4바이트의 특정 코드로 XOR 암호화가 되어 있으며, 복호화가 이뤄지면 명령어들을 육안으로 확인할 수 있게 된다.

문서 내부에 포함된 악성파일은 중국과 미국에 위치한 특정 명령제어 서버(C&C) 호스트로 암호화 통신을 시도한다는 게 이스트시큐리티 측의 설명이다.

이와 더불어 보안 모니터링 등을 우회하기 위해 SNI(Server Name Indication) 값을 도메인 중 하나로 사용하게 설정하는데, 이는 공격자가 명령제어서버와의 통신 트래픽 패킷이 마치 정상적인 사이트로 접속하는 내용처럼 조작하기 위해 사용하는 것으로 알려졌다.

▲ 금융감독원 내용으로 사칭한 악성 HWP 문서의 실행화면[자료=이스트시큐리티]


워드 문서뿐만 아니라 한글 악성문서를 기반으로 하는 스피어피싱 공격도 확인됐다. 2017년 6월 초에 금융감독원 사칭으로 비트코인 거래 업무를 보는 법인대표를 상대로 스피어피싱 공격이 진행된 것으로 드러났다.

해당 이메일에 첨부되어 있는 악성 한글 문서가 실행되면 위와 같이 마치 금융감독원에서 작성한 내용처럼 위장해 수신자를 현혹하게 된다. 특히, 공격 대상자는 실제 비트코인 거래 분야와 관계된 사람들로, 현재까지 지속적인 공격을 수행하고 있는 것으로 분석됐다.

해당 한글 문서파일도 워드 문서와 동일하게 ‘BIN0002.PS’ 코드 내부에 포스트스크립트 코드가 포함되어 있지만, 한글 문서의 경우 Zlib 라이브러리로 압축되어 있기 때문에 포스트스크립트가 바로 보이진 않는다. 압축된 Zlib 코드를 해제하면 내부에 포스트스크립트가 포함된 것을 확인할 수 있는데, 코드 내부에는 포스트스크립트 명령에 의해 악성 EXE 파일을 생성하고, 시작프로그램에 ‘Android.exe’ 파일명으로 등록하는 것으로 이스트시큐리티 측은 분석했다. 이렇듯 악성파일이 시작프로그램에 등록되기 때문에 재부팅할 때 감염활동을 시작하게 된다.

악성 워드 문서와 한글 문서 모두 명령을 수행하는 코드와 SNI(Server Name Indication) 값을 도메인 중 하나로 사용하도록 설정하는 방식 등이 동일해 같은 해커조직에 의해 제작됐을 가능성이 매우 높다는 분석이다. 더욱이 두 사례 경우 모두 비트코인 도메인을 포함하고 있으며, 2014년 미국 소니픽처스 공격에 악용된 악성파일 시리즈들과도 매우 유사한 것으로 드러났다. 이는 결국 이번 스피어피싱 공격이 북한 추정 해커조직의 소행일 가능성이 높다는 점을 시사하는 대목이다.

이처럼 최근 비트코인과 관련된 스피어피싱 공격이 다수 발견되고 있어 모르는 사람이 보낸 메일을 수신할 경우 첨부파일은 절대 열어보지 말고, 삭제하는 것이 바람직하다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>