5월 현재까지 북한 관련 웹사이트의 방문자 타깃으로 워터링홀 공격 감행
북한관련 연구소·협회·센터·군동창회 등 웹사이트, 줄줄이 악성코드 탐지
북한 추정 해커조직 안다리엘, 황금도끼 작전으로 활동재개 정황 포착
[보안뉴스 김경애 기자] 북한 추정 사이버 공격이 또 다시 포착됐다. 5월 현재까지 북한 관련 연구소, 군 관련 동창회, 협회, 연구학회, 센터 등의 웹사이트 방문자를 대상으로 악성코드를 유포하는 워터링홀 공격이 탐지됐다. 특히, 웹사이트 방문자 중 낮은 버전의 액티브X 사용자는 취약점에 노출돼 악성코드에 감염될 수 있다.
▲액티브X 취약점을 이용한 악성코드 스크립트 화면[사진=보안뉴스]
익명을 요청한 보안전문가는 “2018년 4월~5월 국내 북한관련 연구소 등을 타깃으로 북한 추정 사이버공격이 탐지됐다”며 “특정 사이트에 방문한 이용자 중 취약한 액티브X가 설치된 사용자가 해커가 심어놓은 악성코드에 감염됐다”고 밝혔다.
북한 추정 해커는 해당 웹사이트 방문자들을 악성코드에 감염시키기 위해 전자결제, 파일관리, 그룹웨어, 인증관리, 통합인증 등 다양한 국내 소프트웨어의 액티브X 프로그램의 취약점을 악용했다.
이와 관련 또 다른 보안전문가는 “일부 액티브X 프로그램은 국내 대다수 사용자들의 PC에 설치돼 있으며, 공격자는 악성코드 유포 당시 제로데이 취약점을 사용했다”며 “이들은 특정 시간대에 아주 짧은 시간 동안만 유포하거나 특정 사용자만을 식별해 유포하는 방식으로 장기간 들키지 않고 악성코드를 유포해 왔다”고 분석했다.
위협정보를 공유 및 서비스하는 제로서트 역시 국내 특정 소프트웨어의 액티브X 취약점을 악용한 공격이 탐지됐다며 주의를 당부했다.
제로서트 측은 “최근 특정 소프트웨어의 액티브X 취약점을 이용한 악성코드 유포가 확인됐다”며 “작년 이후 최근 다시 활동하고 있다”고 밝혔다.
이러한 가운데 국내 대기업에서 만든 특정 프로그램의 경우 이전부터 공공기관 온-나라 시스템 등에서 사용하는 문서관리 툴로 잘 알려져 있다. 온-나라 시스템은 대한민국 정부가 관리하는 업무처리 전산화 시스템이다. 그중 전자문서 시스템이 국내 대기업에서 만든 특정 프로그램을 이용한 것으로 조사됐다. 이에 따라 정부 관계자나 이용자들의 피해 확산 가능성도 제기된다.
이에 대해 보안전문가는 “액티브X 취약점의 경우 서버상에서 취약점을 패치하더라도 사용자가 해당 액티브X를 설치했던 사이트에 다시 접속하지 않는 한 사용자 PC에는 적용이 되지 않는다”며 “사용자들에게 패치가 빨리 적용될 수 있도록 다양한 방법을 강구하고 사용자들이 패치를 할 수 있도록 적극적으로 안내해야 한다”고 강조했다.
특히, 여기서 주목되는 점은 바로 공격시점이다. 공격시점은 지난 4월부터 5월 현재까지로 4월 27일 판문점선언 발표 이후이며, 북미 정상회담을 앞둔 시점이다.
또 다른 보안전문가는 “2018년 5월 22일 오전 10시경 북한 추정 사이버공격이 매우 활발하게 감행되고 있다”며 “공격자는 동일한 코드를 수년 전부터 계속 사용하고 있으며, 2007년 공격 코드까지 연결된다”고 분석했다. 뿐만 아니라 앞서 언급한 액티브X 취약점을 이용한 군 동창회 사이트의 워터링홀 공격은 부처님 오신날인 5월 22일에도 탐지됐으며, 다른 국내 사이트도 현재까지 공격이 감행되고 있는 것으로 알려졌다.
공격을 감행했을 것으로 예상되는 해커조직은 본지에서 앞서 보도한 바 있는 안다리엘이다. 황금도끼 작전(Operation GoldenAxe) 등으로 잘 알려진 북한 추정 해커그룹이다. 특히, 이들은 지난해 국내 여행사를 비롯해 소프트웨어 보안업체 등 국내 여러 웹사이트의 액티브X 취약점을 이용해 공격한 바 있다.
이와 관련 순천향대학교 염흥열 교수는 “액티브X 취약점은 패치가 존재하는 취약점과 패치가 존재하지 않은 취약점으로 구분된다. 패치가 존재하는 취약점은 액티브X의 보안 업데이트를 받으면 취약점을 패치할 수 있지만, 악성코드 유포 당시에 패치가 존재하지 않은 취약점을 악성코드가 악용했다면 문제는 심각해진다”며 “특히, 공공기관에서 이용하는 문서관리 시스템의 액티브X 취약점을 악용한 악성코드 유포는 해당 시스템 자체의 해킹 가능성도 있다”고 지적했다.
이어 염흥열 교수는 “단기 대책으로는 유사 공격의 재발을 막기 위해 액티브X를 이용하는 사이트와 이용자의 경우 액티브X의 최신 보안 업데이트가 필요하고, 현재 설치되어 있을지 모르는 악성코드를 조속히 탐지해 백신 등으로 치료해야 한다. 이와 함께 국가 사이버정보공유체계를 적극 활용할 수 있는 방안을 강구해야 한다”고 강조했다.
무엇보다 장기적으로는 남북관계의 변화와 무관하게, 국가의 지원을 받는 특정 해커그룹에 의한 다양한 사이버 공격에 효과적으로 대응할 수 있는 국가 차원의 대응능력 고도화가 필요하다는 지적이다.
[김경애 기자(boan3@boannews.com)]
북한관련 연구소·협회·센터·군동창회 등 웹사이트, 줄줄이 악성코드 탐지
북한 추정 해커조직 안다리엘, 황금도끼 작전으로 활동재개 정황 포착
[보안뉴스 김경애 기자] 북한 추정 사이버 공격이 또 다시 포착됐다. 5월 현재까지 북한 관련 연구소, 군 관련 동창회, 협회, 연구학회, 센터 등의 웹사이트 방문자를 대상으로 악성코드를 유포하는 워터링홀 공격이 탐지됐다. 특히, 웹사이트 방문자 중 낮은 버전의 액티브X 사용자는 취약점에 노출돼 악성코드에 감염될 수 있다.
▲액티브X 취약점을 이용한 악성코드 스크립트 화면[사진=보안뉴스]
익명을 요청한 보안전문가는 “2018년 4월~5월 국내 북한관련 연구소 등을 타깃으로 북한 추정 사이버공격이 탐지됐다”며 “특정 사이트에 방문한 이용자 중 취약한 액티브X가 설치된 사용자가 해커가 심어놓은 악성코드에 감염됐다”고 밝혔다.
북한 추정 해커는 해당 웹사이트 방문자들을 악성코드에 감염시키기 위해 전자결제, 파일관리, 그룹웨어, 인증관리, 통합인증 등 다양한 국내 소프트웨어의 액티브X 프로그램의 취약점을 악용했다.
이와 관련 또 다른 보안전문가는 “일부 액티브X 프로그램은 국내 대다수 사용자들의 PC에 설치돼 있으며, 공격자는 악성코드 유포 당시 제로데이 취약점을 사용했다”며 “이들은 특정 시간대에 아주 짧은 시간 동안만 유포하거나 특정 사용자만을 식별해 유포하는 방식으로 장기간 들키지 않고 악성코드를 유포해 왔다”고 분석했다.
위협정보를 공유 및 서비스하는 제로서트 역시 국내 특정 소프트웨어의 액티브X 취약점을 악용한 공격이 탐지됐다며 주의를 당부했다.
제로서트 측은 “최근 특정 소프트웨어의 액티브X 취약점을 이용한 악성코드 유포가 확인됐다”며 “작년 이후 최근 다시 활동하고 있다”고 밝혔다.
이러한 가운데 국내 대기업에서 만든 특정 프로그램의 경우 이전부터 공공기관 온-나라 시스템 등에서 사용하는 문서관리 툴로 잘 알려져 있다. 온-나라 시스템은 대한민국 정부가 관리하는 업무처리 전산화 시스템이다. 그중 전자문서 시스템이 국내 대기업에서 만든 특정 프로그램을 이용한 것으로 조사됐다. 이에 따라 정부 관계자나 이용자들의 피해 확산 가능성도 제기된다.
이에 대해 보안전문가는 “액티브X 취약점의 경우 서버상에서 취약점을 패치하더라도 사용자가 해당 액티브X를 설치했던 사이트에 다시 접속하지 않는 한 사용자 PC에는 적용이 되지 않는다”며 “사용자들에게 패치가 빨리 적용될 수 있도록 다양한 방법을 강구하고 사용자들이 패치를 할 수 있도록 적극적으로 안내해야 한다”고 강조했다.
특히, 여기서 주목되는 점은 바로 공격시점이다. 공격시점은 지난 4월부터 5월 현재까지로 4월 27일 판문점선언 발표 이후이며, 북미 정상회담을 앞둔 시점이다.
또 다른 보안전문가는 “2018년 5월 22일 오전 10시경 북한 추정 사이버공격이 매우 활발하게 감행되고 있다”며 “공격자는 동일한 코드를 수년 전부터 계속 사용하고 있으며, 2007년 공격 코드까지 연결된다”고 분석했다. 뿐만 아니라 앞서 언급한 액티브X 취약점을 이용한 군 동창회 사이트의 워터링홀 공격은 부처님 오신날인 5월 22일에도 탐지됐으며, 다른 국내 사이트도 현재까지 공격이 감행되고 있는 것으로 알려졌다.
공격을 감행했을 것으로 예상되는 해커조직은 본지에서 앞서 보도한 바 있는 안다리엘이다. 황금도끼 작전(Operation GoldenAxe) 등으로 잘 알려진 북한 추정 해커그룹이다. 특히, 이들은 지난해 국내 여행사를 비롯해 소프트웨어 보안업체 등 국내 여러 웹사이트의 액티브X 취약점을 이용해 공격한 바 있다.
이와 관련 순천향대학교 염흥열 교수는 “액티브X 취약점은 패치가 존재하는 취약점과 패치가 존재하지 않은 취약점으로 구분된다. 패치가 존재하는 취약점은 액티브X의 보안 업데이트를 받으면 취약점을 패치할 수 있지만, 악성코드 유포 당시에 패치가 존재하지 않은 취약점을 악성코드가 악용했다면 문제는 심각해진다”며 “특히, 공공기관에서 이용하는 문서관리 시스템의 액티브X 취약점을 악용한 악성코드 유포는 해당 시스템 자체의 해킹 가능성도 있다”고 지적했다.
이어 염흥열 교수는 “단기 대책으로는 유사 공격의 재발을 막기 위해 액티브X를 이용하는 사이트와 이용자의 경우 액티브X의 최신 보안 업데이트가 필요하고, 현재 설치되어 있을지 모르는 악성코드를 조속히 탐지해 백신 등으로 치료해야 한다. 이와 함께 국가 사이버정보공유체계를 적극 활용할 수 있는 방안을 강구해야 한다”고 강조했다.
무엇보다 장기적으로는 남북관계의 변화와 무관하게, 국가의 지원을 받는 특정 해커그룹에 의한 다양한 사이버 공격에 효과적으로 대응할 수 있는 국가 차원의 대응능력 고도화가 필요하다는 지적이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
