문체부 산하 ‘KTV 유튜브 채널’ 방송 섭외로 둔갑한 북한 소행 해킹 공격

2022-05-23 14:12
  • 카카오톡
  • url
KTV 국민방송 유튜브 채널 출연 문의 요청 문서... 실체 알고 보니 악성 HWP 한글문서
‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은? 이라는 주제로 위장
대북 분야 종사자를 겨냥한 북한 배후 해킹 조직 ‘금성121’ 소행으로 지목


[보안뉴스 원병철 기자] 최근 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구된다고 보안 전문 기업 이스트시큐리티(대표 정진일)가 23일 밝혔다.


▲유튜브 KTV 프로그램 출연 문의로 위장한 악성 HWP 문서화면[자료=이스트시큐리티]

이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것이다.

악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 오는 5월 24일(화) ‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은? 이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있다. 공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해, 문서가 실행될 때 평소 많이 봤던 것과 비슷한 가짜 메시지 창 ‘상위 버전에서 작성한 문서입니다’라는 화면을 보여줘 별다른 의심 없이 실행하도록 유도하는 공격 전략을 구사했다.

이처럼 최근에는 HWP OLE 기반의 지능형 지속위협(APT) 공격이 눈에 띄게 증가하는 추세를 보이고 있다. 그러나 이는 보안 취약점(Exploit)을 이용한 수법이 아니기 때문에 최신 버전의 한컴오피스 이용자들도 유사한 위협에 노출될 수 있다는 점을 기억해야 한다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 분석에 의하면, 해당 HWP 내부에는 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 ‘work3.b4a[.]app’로 통신을 시도하는 것을 확인했다. 이 C2 서버 주소는 북한 연계 해킹 사건에서 연이어 발견되고 있어 신속한 차단이 필요한 곳이다.

이번 공격 조직이 사용했던 위협 데이터를 종합 분석해 보면, 과거 ‘금성121’ 배후가 사용한 공통점이 여럿 목격되는데, 주로 러시아 Yandex 이메일 사용과 더불어 해킹해 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용하는 공통점이 발견된다. 또, ‘금성121’ 북 연계 해킹 조직이 HWP 기반 악성 문서를 APT 공격에 적극 활용하고 있고, 주로 북한 인권 분야 종사자나 탈북 지원 활동가, 대북언론매체 기자 등을 상대로 은밀한 접근을 꾸준히 시도하고 있는 것을 확인할 수 있었다.

이는 최근 윤석열 대통령과 미국 조 바이든 대통령이 한미정상회담 공동선언문을 통해 사이버 적대세력 억지와 핵심기반시설 사이버보안 등을 주요 의제로 포함하고, 북한의 사이버 위협 대응 협력을 대폭 확대하기로 발표하는 등 사이버 안보가 핵심의제 중 하나로 급부상한 가운데 행해졌다는 점에 주목할 필요가 있다.


▲한컴오피스 문서 보안 높음 설정 화면[자료=이스트시큐리티]

최근까지 북한 소행으로 지목된 다수의 해킹 공격은 MS 오피스 기반의 DOC 악성 파일이 많은 수를 점유하고 있는 것이 사실이지만, HWP 기반 OLE 방식의 공격도 연이어 발견되고 있는 만큼, 한컴오피스 이용자는 별도의 메시지 창 클릭 안내 화면을 보게 될 경우 이전보다 더 세심한 주의와 함께 문서보안 수준 설정을 ‘높음’ 상태로만 유지하는 것이 필요하다.

ESRC 센터장 문종현 이사는 “새 정부 출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않으며, 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다”라며 “특히, 민간분야를 대상으로 한 北 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다”고 당부했다.

한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기