세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] 북한 해커조직, ‘사이버 논리폭탄’ 탑재한 정찰용 악성코드 유포!
  |  입력 : 2017-05-18 18:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정찰 유지 위해 아래한글 프로그램에 기생하는 새로운 방식
오후 2시~6시 사이에만 특정 동작 수행하는 사이버 논리폭탄 탑재


[보안뉴스 권 준 기자] 북한 추정 해커조직이 최근 ‘사이버 논리폭탄’이 적용된 정찰용 악성코드를 국내에 은밀히 유포하고 있는 것으로 드러났다.

▲ ‘아래한글’ 프로그램에 기생하여 로드된 북한 정찰용 악성코드[자료=이슈메이커스랩]


사이버전 악성코드 전문 추적·연구 그룹 이슈메이커스랩의 ‘사이버전 연구센터’에 따르면 최근 북한추정 해커 조직이 유포한 정찰 악성코드가, 정찰을 지속적으로 수행할 수 있도록 PC에서 오래 생존하기 위해 새로운 방식을 사용한다고 밝혔다.

이번에 발견된 악성코드는 특정 대상에 이메일을 통해 한글 문서의 첨부파일 형태로 유포됐다. 사용자가 한글 문서를 열람할 경우, 한글 프로그램의 취약점을 이용하여 국내의 한 병원 웹 서버에서 암호화된 악성코드를 다운로드해 복호화한 후, 동작하는 것으로 분석됐다. 이후 악성코드는 대상 PC의 주요 문서파일 및 오디오(녹음) 파일들을 수집하여 특정 클라우드 서버로 전송한다.

이때 클라우드 서버로 전송되는 파일들의 용량이 대용량인 점을 감안해 RAR 압축프로그램으로 압축한 후, 별도의 프로그램을 통해 대용량 파일을 성공적으로 전송할 수 있도록 설계됐다.

특히, 이번 악성코드에서는 발각되지 않고 정찰을 오랜 기간 유지하기 위해 아래한글 프로그램에 기생해서 동작하는 새로운 방식이 적용된 것으로 알려졌다. 특정 경로에 아래한글 모듈과 유사한 이름의 악성코드 파일을 숨김 속성으로 생성하고, 이를 아래한글 프로그램의 모듈들이 등록되는 레지스트리 경로에 추가하는 방식이다.

이를 통해 사용자가 문서 보기 및 작성 등을 위해 아래한글 프로그램을 실행시키면 아래한글 프로그램에 의해 자동으로 악성코드가 로드되어 동작되는 원리라는 게 해당 악성코드를 발견한 이슈메이커스랩 측의 설명이다.

▲ ‘아래한글’ 프로그램 모듈 레지스트리에 정찰용 악성코드 등록[자료=이슈메이커스랩]


또한, 이렇게 동작된 악성코드는 오후 2시부터 6시 사이에만 특정 서버로부터 추가 악성코드를 다운로드해 실행하도록 하는 논리폭탄(Logic Bomb)이 포함되어 있다. 논리폭탄은 특정 날짜나 시간 등 조건이 충족되었을 때 악성행위를 수행할 수 있게 만든 코드의 일부분으로 소프트웨어 시스템에 의도적으로 삽입된 것이다. 파괴력이 실제 폭탄과 유사하다고 해 Logic의 뒤에 Bomb이라는 말을 붙인 것으로 알려졌다. 따라서 지시된 조건과 맞지 않으면 계속 숨어 있게 된다. 이는 오랜 기간 은닉하면서 정찰 및 정보 수집 활동을 수행하기 위한 사이버 공격의 일종이다.

‘사이버전 연구센터’의 다니엘(Daniel) 연구원은 “공격자는 국내 업무 환경을 아주 잘 이해하고 있으며 지속적으로 새로운 방식을 적용하여 정찰 활동에 활용하고 있다”라며, “사용자들은 한글 프로그램을 최신 버전으로 업데이트하고 이메일 열람 시 주의해야 한다”고 말했다.

한편, 이번 악성코드 유포 정황을 포착한 이슈메이커스랩(리더 Simon Choi)은 지난 2013년 3.20사이버테러를 감행한 해커조직의 실체를 최초로 파헤쳐 주목을 받은 사이버전 악성코드 전문 추적·연구그룹으로 현재 ‘사이버전 연구센터’를 운영하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)