액티브X가 또 악성코드 통로? 황금도끼 작전 재개됐나

2018-05-24 17:06
  • 카카오톡
  • 네이버 블로그
  • url
5월 현재까지 북한 관련 웹사이트의 방문자 타깃으로 워터링홀 공격 감행
북한관련 연구소·협회·센터·군동창회 등 웹사이트, 줄줄이 악성코드 탐지
북한 추정 해커조직 안다리엘, 황금도끼 작전으로 활동재개 정황 포착


[보안뉴스 김경애 기자] 북한 추정 사이버 공격이 또 다시 포착됐다. 5월 현재까지 북한 관련 연구소, 군 관련 동창회, 협회, 연구학회, 센터 등의 웹사이트 방문자를 대상으로 악성코드를 유포하는 워터링홀 공격이 탐지됐다. 특히, 웹사이트 방문자 중 낮은 버전의 액티브X 사용자는 취약점에 노출돼 악성코드에 감염될 수 있다.


▲액티브X 취약점을 이용한 악성코드 스크립트 화면[사진=보안뉴스]

익명을 요청한 보안전문가는 “2018년 4월~5월 국내 북한관련 연구소 등을 타깃으로 북한 추정 사이버공격이 탐지됐다”며 “특정 사이트에 방문한 이용자 중 취약한 액티브X가 설치된 사용자가 해커가 심어놓은 악성코드에 감염됐다”고 밝혔다.

북한 추정 해커는 해당 웹사이트 방문자들을 악성코드에 감염시키기 위해 전자결제, 파일관리, 그룹웨어, 인증관리, 통합인증 등 다양한 국내 소프트웨어의 액티브X 프로그램의 취약점을 악용했다.

이와 관련 또 다른 보안전문가는 “일부 액티브X 프로그램은 국내 대다수 사용자들의 PC에 설치돼 있으며, 공격자는 악성코드 유포 당시 제로데이 취약점을 사용했다”며 “이들은 특정 시간대에 아주 짧은 시간 동안만 유포하거나 특정 사용자만을 식별해 유포하는 방식으로 장기간 들키지 않고 악성코드를 유포해 왔다”고 분석했다.

위협정보를 공유 및 서비스하는 제로서트 역시 국내 특정 소프트웨어의 액티브X 취약점을 악용한 공격이 탐지됐다며 주의를 당부했다.

제로서트 측은 “최근 특정 소프트웨어의 액티브X 취약점을 이용한 악성코드 유포가 확인됐다”며 “작년 이후 최근 다시 활동하고 있다”고 밝혔다.

이러한 가운데 국내 대기업에서 만든 특정 프로그램의 경우 이전부터 공공기관 온-나라 시스템 등에서 사용하는 문서관리 툴로 잘 알려져 있다. 온-나라 시스템은 대한민국 정부가 관리하는 업무처리 전산화 시스템이다. 그중 전자문서 시스템이 국내 대기업에서 만든 특정 프로그램을 이용한 것으로 조사됐다. 이에 따라 정부 관계자나 이용자들의 피해 확산 가능성도 제기된다.

이에 대해 보안전문가는 “액티브X 취약점의 경우 서버상에서 취약점을 패치하더라도 사용자가 해당 액티브X를 설치했던 사이트에 다시 접속하지 않는 한 사용자 PC에는 적용이 되지 않는다”며 “사용자들에게 패치가 빨리 적용될 수 있도록 다양한 방법을 강구하고 사용자들이 패치를 할 수 있도록 적극적으로 안내해야 한다”고 강조했다.

특히, 여기서 주목되는 점은 바로 공격시점이다. 공격시점은 지난 4월부터 5월 현재까지로 4월 27일 판문점선언 발표 이후이며, 북미 정상회담을 앞둔 시점이다.

또 다른 보안전문가는 “2018년 5월 22일 오전 10시경 북한 추정 사이버공격이 매우 활발하게 감행되고 있다”며 “공격자는 동일한 코드를 수년 전부터 계속 사용하고 있으며, 2007년 공격 코드까지 연결된다”고 분석했다. 뿐만 아니라 앞서 언급한 액티브X 취약점을 이용한 군 동창회 사이트의 워터링홀 공격은 부처님 오신날인 5월 22일에도 탐지됐으며, 다른 국내 사이트도 현재까지 공격이 감행되고 있는 것으로 알려졌다.

공격을 감행했을 것으로 예상되는 해커조직은 본지에서 앞서 보도한 바 있는 안다리엘이다. 황금도끼 작전(Operation GoldenAxe) 등으로 잘 알려진 북한 추정 해커그룹이다. 특히, 이들은 지난해 국내 여행사를 비롯해 소프트웨어 보안업체 등 국내 여러 웹사이트의 액티브X 취약점을 이용해 공격한 바 있다.

이와 관련 순천향대학교 염흥열 교수는 “액티브X 취약점은 패치가 존재하는 취약점과 패치가 존재하지 않은 취약점으로 구분된다. 패치가 존재하는 취약점은 액티브X의 보안 업데이트를 받으면 취약점을 패치할 수 있지만, 악성코드 유포 당시에 패치가 존재하지 않은 취약점을 악성코드가 악용했다면 문제는 심각해진다”며 “특히, 공공기관에서 이용하는 문서관리 시스템의 액티브X 취약점을 악용한 악성코드 유포는 해당 시스템 자체의 해킹 가능성도 있다”고 지적했다.

이어 염흥열 교수는 “단기 대책으로는 유사 공격의 재발을 막기 위해 액티브X를 이용하는 사이트와 이용자의 경우 액티브X의 최신 보안 업데이트가 필요하고, 현재 설치되어 있을지 모르는 악성코드를 조속히 탐지해 백신 등으로 치료해야 한다. 이와 함께 국가 사이버정보공유체계를 적극 활용할 수 있는 방안을 강구해야 한다”고 강조했다.

무엇보다 장기적으로는 남북관계의 변화와 무관하게, 국가의 지원을 받는 특정 해커그룹에 의한 다양한 사이버 공격에 효과적으로 대응할 수 있는 국가 차원의 대응능력 고도화가 필요하다는 지적이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기