‘서울 ADEX 2015’ 운영본부 사칭한 북한 추정 스피어피싱 공격 포착
자료수집 및 원격제어 악성코드 추가 전송...소니픽쳐스 악성코드와 유사

[보안뉴스 김경애] 북한 추정 해커조직이 지난 10월 20일부터 25일까지 경기도 성남 서울공항에서 개최된 ‘서울 ADEX(Aerospace & Defense Exhibition) 2015’ 전시회 참가업체들을 대상으로 한글 취약점을 악용한 스피어피싱 공격을 감행한 정황이 포착됐다.



스피어피싱 공격, 듀저 악성코드의 변형인 백도어 삽입
북한 추정 해커조직은 서울 ADEX 공동운영본부를 사칭했으며, 지난 10월 ‘서울 에어쇼에서 전시된 10대 명품무기입니다’라는 제목으로 전시회 참가업체들에게 메일을 발송한 것으로 드러났다. 전송자 메일 계정은 seouladex@daum.net로 포털사 다음의 메일을 이용한 것으로 알려졌다.

첨부파일 문서에는 한 언론사에서 소개한 서울 ADEX 내용이 포함돼 있었다. 행사가 진행되기 이전에 전시회 주최 측에서 보내는 안내메일로 위장해 메일을 수신하도록 유도하는 방법을 사용했다. 메일에 첨부된 한글파일에는 한글 취약점을 이용한 스피어피싱 공격으로, 새로운 형태의 백도어가 포함된 것으로 드러났다.

익명을 요구한 한 보안전문가는 “HWP 한글 취약점을 이용한 북한 추정의 스피어피싱 공격”이라고 지목했으며, 또 다른 보안전문가는 “해당 악성코드는 한글 취약점을 악용한 새로운 형태로, 시만텍에서 공개한 듀저(Duuzer)의 변종인 백도어”라고 분석했다.

악성코드 기능과 관련해 하우리 최상명 CERT 실장은 “북한발 악성코드라고 할 수 있는데, 해당 악성코드에 감염되면 원격에서 파일 수집 및 제어할 수 있는 악성코드 등을 추가로 전송한다”며 “가장 최근의 사례로는 소니픽쳐스 악성코드와 유사하다”고 밝혔다.

스피어피싱 공격의 경우 지인이나 신뢰할만한 기관을 사칭하기 때문에 메일이 오면 수신자가 쉽게 속을 수밖에 없다. 정상적인 패턴으로 들어오기 때문에 취약점이 있는 경우 악성코드에 감염될 수밖에 없는 구조다.

시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어.듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어피싱 이메일이나 워터링 홀 공격을 통해서 확산되는 것으로 추정된다. 현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다.

2004년 이후부터 정기적으로 악성코드 유포, 워터링홀 공격도 감행
이처럼 북한 추정 해커조직의 한글문서 취약점을 이용한 공격은 그동안 꾸준히 감행돼 왔다. 특히, 이번 방산업체를 대상으로 악성메일을 발송한 것 외에도 동일 조직이 지난 2004년부터 대학교, 군 관련기관, 한수원, 외교부, 통일부, 일반기업 등을 타깃으로 매달 10건 정도씩 악성코드가 포함된 문서를 유포해 왔다는 게 최 실장의 설명이다. 이들은 주로 다음 계정을 사용하지만, 네이버와 네이트 등 다른 포털사 계정도 발견된 것으로 알려졌다.

더욱이 최근 군관련 사이트를 상대로 워터링홀 공격이 잇따라 포착되고 있다. 특히, 지난 9월부터 11월 초까지 HWP 한글취약점을 이용해 악성코드를 삽입한 파일이 집중적으로 뿌려진 것으로 조사됐다. 하지만 이번 방산업체를 대상으로 뿌려진 악성코드와는 다른 종류라는 게 보안전문가들의 공통된 의견이다.

특히, 공격자는 매우 은밀하게 치고 빠지기 전략을 수행하며, 예비역 및 고위장성들을 겨냥하고 있는 것으로 분석된다. 이처럼 북한 추정의 사이버공격은 평시에도 계속 진행되기 때문에 사이버보안 위협에 철저히 대비해야 한다는 지적이다.

이와 관련 최상명 실장은 “공식기관이나 조직 등에서 발송된 메일이라도 한글문서 파일이 첨부되어 있고, 발신인이 다음이나 네이버 등 포털 계정의 메일 사용자이라면, 반드시 의심해봐야 한다”며 “특히, 한글 프로그램을 항상 최신 버전으로 업데이트할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>