[보안뉴스 원병철 기자] 특정 정부가 연계된 것으로 알려진 ‘금성121(Geumseong121)’ 공격 그룹이 새로운 방식의 공격수법을 도입한 ‘지능형 지속위협(APT) 공격’을 국내에 펼치고 있어 사용자들의 각별한 주의가 요구된다. 이스트시큐리티 ESRC(시큐리티대응센터)는 금성121이 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹사이트에 접속한 사람들만 악성파일에 노출되도록 하는 공격을 하고 있는데, 기존에 많이 알려지지 않은 공격 벡터를 쓰고 있다며 주의를 요구했다.
[이미지=utoimage]
현재 ‘금성121’이 활용 중인 웹 기반 공격 전략은 웹 브라우저 취약점을 쓰거나 악성 스크립트를 사이트에 삽입하는 것이 아니라, 웹사이트 안내 게시판에 악성 hwp 문서파일이 등록되도록 만드는 것이다. 해커가 직접 대상 웹 서버에 침투해 기존에 등록된 정상 hwp 문서를 악성으로 교체한 것인지, 아니면 글 등록 담당자의 컴퓨터를 해킹해 이미 작성된 문서에 악성코드를 삽입 변조함으로써 정상적인 절차로 등록되도록 만든 것인지 여부는 추가 조사가 필요한 상태다.
이런 위협은 평소 아무 의심 없이 접속하던 다수의 이용자들은 첨부된 파일을 열람하고, 문서파일 취약점이 존재하는 경우 바로 위협에 노출되는 방식이다. ESRC는 지난 수개월 간 국내에서 운영 중인 다수의 북한관련 웹사이트가 이처럼 변칙적인 방식의 워터링 홀 공격에 노출된 것을 식별했고, 위협 배후 분석결과 모두 ‘금성121’ 그룹으로 분류했다고 설명했다.
▲악성 hwp 문서가 게시판에 등록된 페이지 코드화면[자료=ESRC]
악성 hwp 문서파일은 해커 의도에 따라 여러 가지 형태가 배포되고 있으며, 무슨 취약점과 어떤 과정으로 악성 파일이 등록됐는지 정확한 침해사고 원인파악이 되지 않을 경우 지속적 위협에 노출될 가능성도 배제하기 어렵다.
최근에 관찰된 악성 문서파일은 ‘2020학년도 모집공고역사.hwp’ 파일명으로, 역사과목을 담당할 기간제 교원을 모집하는 내용을 담고 있다. 해당 문서파일이 실행되면 문제없는 본문 내용이 보이며, 취약점에 따라 악의적인 명령이 수행된다.
▲악성 포스트 스트립트가 포함된 화면[자료=ESRC]
이번에 새롭게 탐지된 악성 hwp 문서파일은 2020년 상반기에 수행된 공격 중에 하나로, 문서 내부에 다음과 같이 ‘BIN0001.ps’ 포스트스크립트(Post Script) 스트림을 내장하고 있다. 포스트스크립트는 코드 분석 및 탐지가 어렵도록 인코딩 방식이 적용되어 있고, 디코딩 과정을 거치면 내부에 쉘코드(shellcode)가 포함된 명령어들이 존재한다.
▲포스트스크립트에 숨겨져 있는 32비트 exe 악성 코드[자료=ESRC]
악성 파일은 과거 ‘위장 탈북 증거로 유인한 금성121 APT 조직의 스파이 클라우드 공격 등장’ 사례와 마찬가지로 해외 클라우드(pcloud) 서버로 탈취된 이용자 정보를 은밀히 유출시킨다. 그리고 공격자 의도에 따라 추가 악성파일이 설치되어 예기치 못한 원격제어 피해 등으로 이어질 수 있다.
▲해외 클라우드 서버 이용 모습[자료=ESRC]
ESRC는 공격자들이 사용한 클라우드 가입 정보를 확인했는데, 기존 ‘금성121’ 조직이 사용한 것과 유사하게 러시아 얀덱스(maddisonharmon@yandex.com) 이메일 계정을 사용했다고 설명했다.
▲클라우드 서비스에 러시아 yandex 이메일로 가입된 모습[자료=ESRC]
이들은 클라우드 서비스 등에 가입할 때 한국 카카오의 한메일, 미국 구글의 지메일, 러시아의 얀덱스 이메일을 자주 사용한다.
▲금성121 조직이 사용했던 위협 사례 화면[자료=ESRC]
ESRC는 ‘금성121’ 조직이 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 상대로 지속적인 사이버안보 위협활동을 하고 있다는 것을 확신한다면서, 이들은 정부차원의 후원을 받으면서 과감하고 노골적인 해킹작전을 수행 중이고, 갈수록 위협이 정교화·고도화되는 실정이라고 설명했다.
따라서 이런 APT 공격에 대한 보다 체계적인 분석과 연구 노력이 절실하며, 위협 인텔리전스 기반의 민관 공동대응과 협력이 요구되고 있다고 강조했다. ESRC는 ‘금성121’ 그룹의 다양한 위협 사례와 침해지표(IoC) 정보 등을 보다 체계화해 ‘Threat Inside’ 서비스를 통해 상세히 제공하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>