특정 타깃으로 한 APT 공격...공격 도중 C&C 서버 이용해 정보수집 악성코드 유포
AOL 메신저 서비스 중단되자 새로운 스트림 방식으로 공격 시도
[보안뉴스 김경애 기자] 보안 프로그램으로 위장한 북한 추정 사이버공격이 지난 14일 포착됐다. 특히, 이번에 발견된 공격은 기존과 다른 새로운 스트림 방식으로 바뀐 만큼 이용자들의 세심한 주의가 필요하다.
▲공격에 활용된 암호화된 설정 파일 화면[이미지=보안뉴스]
이번에 발견된 북한 추정 사이버공격은 특정인을 타깃으로 한 APT 공격으로 분석됐으며, 이들의 공격을 전문적으로 연구·추적하는 보안전문가에 의해 포착됐다.
이에 대해 해당 보안전문가는 “북한 추정 사이버공격에 대해 모니터링하던 중 특정인을 타깃으로 한 공격이 발견됐다”며 “전형적인 APT 공격으로 사이버공격에 사용된 중간 서버에서 악성파일이 유포됐다”고 밝혔다.
악성코드는 정보수집용으로 분석됐으며, 악성코드 제작과 공격 시도 모두 광복절 전날인 8월 14일 이뤄진 것으로 알려졌다.
악성코드 제작과 공격 시도 모두 광복절을 하루 앞두고 감행된 것에 대해 보안전문가는 “특별한 의미가 있는 것으로 보이진 않는다”며 “평소 북한의 사이버공격 흐름으로 파악된다”고 밝혔다.
특히, 이번에 발견된 공격은 기존 AOL 통신과 다른 새로운 스트림 방식으로 바뀌어 주목된다.
AOL 메신저는 AOL사의 인스턴트 메신저 프로그램으로 AOL의 오스카 인스턴트 메시징 프로토콜을 사용한다. 메시지 발송, 파일 공유·발송, 채팅, 주가와 헤드라인 뉴스 검색, 게임 기능이 있으며 실시간으로 메시지를 전송하고 대화할 수 있다.
그런데 AOL 메신저 서비스가 중단되면서 이들의 공격 방식도 바뀐 것으로 추정된다. 이와 관련 보안전문가는 “지난해 12월 AOL 메신저 서비스 중단과 함께 공격 방식이 스트림 방식으로 변경됐다”며 “상반기에도 이러한 유형의 공격이 발견된 바 있어 자세히 분석 중”이라고 밝혔다.
또 다른 보안전문가는 “주로 탈북자들을 대상으로 AOL 메신저 서비스를 명령제어(C&C) 서버로 사용하던 조직이 AOL 서비스가 중단되자 다른 방식으로 변경해 공격을 감행하고 있다”며 “이들은 여러 보안장비들을 우회하기 위해 공격 방식을 다양하게 변화시키고 있다”고 주의를 당부했다.
서울여자대학교 김명주 교수는 “북한의 사이버공격은 최근에도 다양하게 감행되고 있으며, 불특정 다수보다는 기관이나 개인을 특정한 APT 공격으로 전환되는 추세를 보이고 있다”며 “이는 정보수집을 위주로 한 목적지향형 공격에 집중하고 있다는 걸 의미한다. 남북관계 변화도 이러한 사이버공격 흐름에 영향을 주고 있다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>