Home > 전체기사

북한 해커조직, 탈북민 자문위원대상 의견수렴 설문지 위장해 사이버 공격

  |  입력 : 2022-05-09 11:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한이탈주민 자문위원 대상 의견수렴 설문지 문서로 위장한 해킹 공격 전개
HWP 문서의 가짜 메시지 창 클릭을 통한 악성파일 실행 유도 기법 적용
이스트시큐리티 ESRC 분석결과, 북한 소행 사이버 공격으로 위협 배후 지목


[보안뉴스 권 준 기자] 북한이탈주민(탈북민) 자문위원들에게 의견을 수렴하는 내용처럼 위장한 HWP 악성 문서 기반 북한 연계 해킹 공격이 발견됐다.

보안 전문 기업 이스트시큐리티(대표 정진일)에 따르면 이번 공격은 마치 북한이탈주민 자문위원을 대상으로 한 의견수렴 설문지처럼 위장한 것이 특징으로, 탈북민들을 비롯한 대북 종사자들의 각별한 주의가 요구된다.

▲북한이탈주민 자문위원 대상 의겸 수렴 문서로 위장한 악성파일 화면[자료=이스트시큐리티]


공격자는 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했으며, 문서가 실행될 때 가짜 메시지 창 ‘상위 버전에서 작성한 문서입니다.’ 내용 등을 띄어 자연스러운 클릭을 유도했다. 해당 메시지 창은 평소 HWP 문서에서 많이 볼 수 있는 내용으로 별 의심 없이 [확인] 버튼을 클릭할 경우 해킹 공격에 그대로 노출된다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, HWP 내부에 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat)파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버 ‘hanainternational[.]net’로 통신을 시도하는 기능까지 확인했다.

특히, 명령제어(C&C) 서버로 통신을 시도할 때, 외부에 노출되는 것을 최대한 숨기기 위해 작업 스케줄러에 잠복 기능처럼 동작 조건을 추가했으며, 마치 이스트소프트 프로그램처럼 위장하는 수법을 사용한 것으로 파악됐다.

▲이스트소프트 사칭으로 작업스케줄러에 추가된 악성 명령 화면[자료=이스트시큐리티]


한편, 자유북한운동연합이 지난 4월 25일과 26일 이틀에 걸쳐 경기도 김포지역에서 20개의 대형 애드벌룬으로 약 100만 장의 대북 전단을 살포했다고 주장하고 나선 바 있는데, 이번 악성 파일은 마치 해당 내용의 의견을 수렴하는 것처럼 사칭함으로써 공격에 시기적절하게 활용됐다.

이처럼 실제 언론 등을 통해 알려진 내용을 그대로 차용해, 공격 효과를 보다 극대화시키기 위한 사이버 위협 전략에 주목할 필요가 있다.

ESRC는 지난 2월 유엔인권사무소 사칭 피싱 공격과 마찬가지로 이번 공격도 국내 서버를 해킹 중간 거점으로 활용했으며, 동일한 작업 스케줄러 이름과 ‘PEACE’, ‘Lailey’ 아이디 등이 공통적으로 사용된 것을 발견했다.

이번처럼 HWP 자체 취약점이 아닌 OLE 방식의 공격이 최근에도 종종 보고되고 있으며, 자체 보안 취약점이 아니기 때문에 이전 제품부터 가장 최신 버전까지 한컴 오피스 이용자들 모두 별도의 메시지 창 클릭 안내 화면을 보게 될 경우 더 세심한 주의가 필요하다.

특히, 이번 공격에 사용된 HWP 공격 수법과 전술 명령 등은 이전의 북한 연계 사이버 공격 사례와 일치한 것으로 분석돼 배후에 북한 사이버 위협 조직이 있는 것으로 지목됐다.

ESRC 센터장 문종현 이사는 “HWP 악성 문서 기반의 스피어 피싱 공격이 예전보다 많이 감소했지만, 오히려 은밀한 타깃 공격에 지금도 꾸준히 목격되고 있는 무시할 수 없는 위협 중에 하나”라며 “이처럼 北 연계 사이버 위협이 날이 갈수록 증대되고 있기 때문에 보다 긴밀한 민관 공조와 협력이 중요하다”라고 당부했다.

한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)