한글 파일 EPS 취약점 이용해 백도어 설치...백신 상당수 탐지 못해
[보안뉴스 김경애 기자] ‘기록부’라는 첨부파일로 위장한 북한 추정 사이버공격이 16일 오후 포착됐다. 특히, 대부분의 백신이 이를 탐지하지 못하고 있어 이용자들의 각별한 주의가 필요하다.
[이미지=iclickart]
이번에 발견된 악성파일은 이메일에 첨부된 한글파일을 통해 유포되고 있다. 한글 파일을 열어보면 문서의 글이 깨진 채로 보이지만, 이는 한글 EPS 취약점을 이용한 공격으로 정보유출은 물론, 공격자가 추가 명령을 내릴 수 있다. 악성코드는 한국 시각으로 2018년 11월 16일 제작돼 유포된 것으로 분석됐으며, 주요 타깃은 탈북자와 북한 관련 단체를 노린 것으로 알려져 있다.
[이미지=보안뉴스]
이에 본지가 악성코드 공유 사이트인 바이러스토탈에 접속해서 확인한 결과, UTC 시각 2018년 11월 16일 오전 7시 50분 기준으로 바이러스토탈에 등록된 백신 상당수가 해당 악성파일을 탐지하지 못하고 있는 것으로 파악됐다. 당시 단 2개의 백신만이 이를 탐지했는데, 알약(ALYac)에서는 ‘Exploit.HWP.Agent’로 탐지했으며, TACHYON은 ‘Trojan-Dropper/HWP.EPS.Gen’으로 진단하고 있다. 이 때문에 감염 피해 우려가 큰 상황이다.
[이미지=보안뉴스]
공격배후로는 북한의 해커조직인 ‘금성 121’이 의심되고 있다. 금성 121 해커조직은 지난 3월 20일 미디어를 통해 대북 단체 및 국방분야를 주요 공격 대상으로 사이버 침투활동을 전개해 온 정부지원 APT 위협그룹이다.
금성 121은 7월 4일 남북이산가족찾기 전수조사를 사칭한 스피어피싱 이메일 공격, 이후 CVE-2018-4878 0-Day 취약점을 카카오톡 메신저로 유포하거나 악성 HWP 문서를 활용해 은밀한 표적공격을 시도했다. 또한, 한국의 대표 포털사에서 개발한 모바일 백신 앱으로 위장한 공격 등 국내를 타깃으로 다양한 사이버공격을 펼쳐왔다.
이와 관련 이스트시큐리티 문종현 이사는 “11월 현재 정부 지원의 해커조직으로 알려진 라자루스, 금성121 등의 사이버 첩보활동이 활발하게 진행되고 있다”며 “정치사회적인 이슈에 따라 국가간 주요 내부정보를 사전에 신속히 파악하기 위한 사이버작전을 펼치고 있다. 사이버공격 피해를 입지 않도록 기관, 기업 등에서는 각별한 주의가 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>