현 정부 탈핵 시대 비판 내용의 악성파일 유포 정황 발견
동일인이 제작한 것으로 추정되는 악성 한글문서도 발견...유사 공격 가능성 높아
사이버 통합 모니터링 개념 필요...각 단계별 수집정보 신속히 통합·공유돼야

[보안뉴스 김경애 기자] 북한 추정의 사이버공격이 지속적으로 탐지되고 있어 기관과 기업에서 전사적인 대응과 주의가 필요하다.


31일 정치적인 메시지를 포함한 메일로 악성코드를 유포하는 정황이 탐지됐다. 유포된 이메일에는 ‘문재인 정부의 탈핵선언을 비판한다.hwp’라는 제목의 한글 문서가 첨부돼 있다.

이번 공격은 모 대학의 정치학 교수에게 전송하는 등 정확한 타깃이 정해진 표적형 공격으로 분석되고 있으며, 수신자와 관련된 내용을 포함해 사용자로 하여금 아무 의심 없이 첨부파일을 실행하도록 유인하고 있다.


이처럼 특정 타깃을 노린 공격이 많이 탐지되고 있다는 게 보안업체들의 분석이다. 이와 관련 하우리 보안대응팀 주은지 연구원은 “올 초부터 ‘남북 재래식 무기비교’, ‘5대 악성 사이버 범죄 피해예방수칙’ 등의 이름으로 국내 사용자들을 타깃으로 한 표적형 공격이 많이 포착됐다”며 “이번에 사용된 악성 한글 파일의 제작자는 올 초 국내에 유포됐던 악성코드 제작자와 동일한 것으로 보인다. 과거 국내를 표적으로 한 해킹 단체의 공격이 한층 발전해 다시 재개한 것으로 보인다”고 분석했다.

이번에 발견된 한글 악성코드는 대용량 파일을 통해 전송됐으며, 사용자가 링크를 클릭하면메일 서버에서 다운로드된다. 해당 악성 한글 파일을 실행하면 포함된 EPS 파일을 처리하는 과정에서 취약점이 발생해 국내 웹사이트에 업로드된 악성코드를 다운로드한다. 다운로드된 악성코드는 추가로 악성 바이너리를 다운로드한 후, 복호화해 메모리에서 실행시킨다. 이후 실행된 악성 바이너리는 감염된 사용자의 PC의 주요 파일들을 압축해 클라우드 서버로 전송하는 프로세스를 거치는 것으로 확인됐다.


이번 공격은 포스트스크립트와 고스트스크립트 취약점을 활용한 것으로 분석됐다. 이와 관련 이스트시큐리티 시큐리티대응센터(ESRC) 측은 “문서 파일 변조에는 기존에 많은 사이버공격자들이 활용해 왔던 포스트스크립트와 고스트스크립트 취약점을 활용했다”며 “특히, 이번 공격은 특정 웹 서버를 통해 유포됐던 추가 악성 파일이 삭제돼 위협이 추가적으로 확산되지 않은 것으로 보인다”고 설명했다.

이번 악성파일 발견과 관련해서 지난 30일 북한 추정 해커가 제작한 악성파일이 통신하는 한국 서버가 인터넷나야나 호스팅을 사용하는 서버로 연결을 시도하는 정황이 탐지됐다. 현재는 해당 서버에서 파일이 제거된 상태이나, 인터넷나야나의 경우 랜섬웨어 사고가 있었던 곳인 만큼 또 다시 악용될 위험이 높다.


이와 함께 지난 27일에는 동일인이 제작한 것으로 추정되는 ‘개성공단 재개 절대 안되는 8가지 이유.hwp’ 파일로 발견됐다. 해당 파일 역시 특정 타깃으로 한 맞춤형 첨부파일인 것으로 확인됐다. 따라서 한글 오피스 사용자는 프로그램과 백신을 최신 상태로 유지하면 악성코드 감염을 예방할 수 있기 때문에 최신버전으로 업데이트 해야 한다.

이렇듯 한미연합훈련인 을지가디언프리덤 연습이 마무리되고 있는 가운데 북한 측의 스피어피싱 공격이 지속적으로 탐지되고 있다. 북한 사이버공격을 연구 추적하는 전문 그룹에 따르면 31일 스피어피싱 공격이 지속적으로 탐지되고 있다며, 이번 주에 급속히 증가했다고 밝혔다.

지난 29일에는 북한 추정 해커가 다시 공격 활동을 시작해 Imminentmethods 사이트에서 지원하는 RAT(원격제어 툴) 유형의 악성코드가 탐지됐는데, 이번에 탐지된 악성코드는 비트코인을 통해 구매가 가능한 것으로 드러났다.

이처럼 북한으로 추정되는 해커조직의 사이버공격이 계속 발생하고 있다. 더군다나 북한의 대북제재와 미사일 이슈, 그리고 한미연합 훈련인 ‘을지프리덤가디언’ 연습 등에 따라 남북간 대립이 고조되고 있어 북한의 사이버공격은 더욱 대담하게 감행될 것으로 보인다.

그럼에도 기관과 기업에서의 허술한 보안 대응은 여전히 문제로 지적되고 있다. 특히, 을지연습 기간 중에 APT 및 디도스 공격 대응과 취약점 점검이 미흡한 점으로 꼽히고 있다.

이와 관련 한국인터넷진흥원 황보성 단장은 “APT 공격의 경우 외부 메일을 아직까지도 의심없이 열어보는 임직원들이 적지 않고, 기본적인 홈페이지 취약점도 여전히 곳곳에서 존재하고 있지만, 주기적인 점검이 이뤄지지 않고 있다”고 지적했다. 또한, 기업마다 디도스 공격을 방어할 수 있는 규모에도 차이가 있다며 대규모 공격시 대응체계도 갖춰져야 한다고 덧붙였다.

이어 침해사고를 당한 기업들의 공통점에 대해 황 단장은 “홈페이지에 존재하는 기본적인 취약점을 그대로 방치하는 경우가 허다하며, PC나 서버의 보안 업데이트 미준수, 해킹 메일에 대한 대응체계 및 인식이 부족하다”고 말했다. 뿐만 아니라 업무편의를 위해 시스템 계정이 허술하게 관리되는 점도 문제로 지적했다.

이에 따라 기관과 기업의 전방위적인 보안 대응이 요구되고 있다. 이와 관련 큐브피아 권석철 대표는 “현재 대응체계에서의 문제점은 파일, 프로세스, 네트워크 모니터링이 별도로 이뤄져 통합적인 정보 공유가 부족하다는 점”이라며, “통합적인 정보가 실시간 공유되지 않아 공격자가 무엇을 만들었는지, 악성코드가 있는 저장된 위치는 어디인지, 그리고 데이터가 무엇과 연동돼 있는지 등을 추적하기 쉽지 않다”며 현재 분석 시스템의 한계에 대해 설명했다.

그러면서 권 대표는 “능동적 대응을 위해서는 파일과 프로세스, 네트워크를 통합 연동하고 분석에 동시에 진행될 수 있는 사이버 통합 모니터링 개념이 중요하다”고 강조했다. 또한, 그는 악성코드가 탐지된 PC만 다시 세팅을 하기 보단 전사적으로 모든 시스템 및 PC를 새롭게 세팅해야만 탐지되지 않은 공격자의 악성행위를 사전에 차단할 수 있다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>