지능형지속위험(APT) 공격을 활용한 북한발 악성코드가 발견됐다.
보안회사 하우리(대표 김희천)는 `북핵해결 3대 전략(Strategic Triad)` `삼위일체의 북핵전략(Strategic Trinity)` 이라는 제목의 한글 제로데이 취약점을 이용한 한글문서가 발견됐다고 20일 밝혔다.
최신 패치된 한글 버전에서도 작동을 해 문서를 열람하는 순간 모든 한글 사용자가 감염된다.
감염되면 악성코드가 작동돼 사용자 이름, IP, 맥어드레스 등 시스템내의 개인정보를 긁어 파일로 만들어 특정메일 주소로 송신한다. 이번에 발견된 악성코드는 시스템 내 개인정보를 긁어가는 것으로 분석됐으나 공격자가 공격명령을 바꾸면 기밀문서 탈취, 원격조종 등 무엇이든 공격자 의도대로 시스템을 장악할 수도 있어 더욱 위험하다.
김정수 하우리 보안대응센터 센터장은 “해당 문서의 내용으로 보아 정확한 타깃은 알 수 없지만 정부부처 또는 핵과 관련된 원자력 연구 기관 및 원자력 발전소 등을 노린 것으로 추정된다”고 말했다.
특히 이 악성코드는 지난 15일 하우리에서 발견한 `2012년 통일정책 토론회.hwp`와 매우 흡사한 형태를 띠고 있어 동일한 제작자가 만든 악성코드로 분석된다.
김 센터장은 “수신 받는 메일이 중국IP를 가장한 북한메일로 추정, 북한 해커 소행일 가능성이 높다”며 “APT 공격은 공격 성공률이 99%에 달하기 때문에 기업의 기밀 문서나 중요 정보들을 탈취, 최종적으로 시스템의 파괴까지 유발할 수 있어 주의가 필요하다”고 말했다.
하우리측은 해당 한글 제로데이 취약점은 아직 보안패치가 되지 않았기 때문에 이 취약점을 이용한 악성코드의 지속적인 변형 공격이 다수 예상된다며 최신 APT 공격 대응 시스템을 통한 방어가 시급하다고 지적했다.
장윤정기자 linda@etnews.com
