정부부처 공직자를 겨냥한 지능형지속위협(APT) 공격이 발견됐다.
이번 공격은 지난 4월 국내 대기업을 공격한 APT 수법과 100% 일치해 국내 대기업, 정부 등을 노리는 개인이나 조직이 배후에 있을 것으로 추정돼 대응 방안 마련이 시급하다.
잉카인터넷은 14일 한글(HWP) 문서파일 취약점을 이용해 국내 정부부처를 목표로 한 APT 공격사례가 발견됐다고 밝혔다. 국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가 내부 정보수집을 목적으로 한 표적형 공격의 일환으로 잉카인터넷은 추정했다.
문종현 잉카인터넷 시큐리티대응센터 팀장은 “이번 공격은 지난 4월 발표했던 국내 대기업을 표적으로 한 공격기법과 거의 일치한다”며 “따라서 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행 및 이상징후를 계속 예의 주시 중”이라고 말했다.
공격자는 HWP 파일의 취약점을 이용했으며 `일일 주요외신 보도동향 보고`라는 내용을 포함하고 있다. 발신자는 이메일 제목과 내용 등에 한글을 직접 사용했고 보낸 사람 부분에도 한글로 `최 강`이라는 발신자명과 핫메일(hotmail.com) 계정을 이용한 것으로 드러났다.
해당 악성파일은 업무시간이 마무리되는 시점인 2일 오후 6시 55분경에 확인됐다. 이메일 제목에는 한글로 `(수정) 8.2 외신종합`이라는 내용이 있고, 본문에는 `참고하세요`라는 짧은 표현만 포함돼 있다. 첨부파일에는 `8.2(목).hwp` 이름의 악성파일이 포함돼 있다.
이 공격방식은 지난 4월 23일 진행된 국내 특정 기업에 사용된 방식과 매우 유사하다.
메인 악성파일인 `scvhost.exe` 파일은 이미지 아이콘을 가지고 있고 마이크로소프트의 다이렉트X 파일처럼 위장돼 있으며 중국어로 제작돼 있다. 사용자를 속이기 위해서 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행된다. 실제로 보여지는 문서파일은 일일 주요외신 보도동향 보고라는 제목과 경제, 북한, 외교와 관련된 내용들이다.
이 악성코드는 안티 바이러스 탐지 우회목적의 안티 리버싱 솔루션인 가비지 코드(Garbage Code)를 다수 포함하고 있어 용량이 무려 약 25Mb 정도로 큰 편이다.
문 팀장은 “악성코드 분석 결과 중국어가 포함돼 있어 중국 쪽 소행도 의심스럽지만 속단할 수는 없다”면서 “관련 악성코드에 대한 분석을 완료하는 대로 한국인터넷진흥원 및 국내 보안업체 등과 정보를 공유, 피해를 예방할 것”이라고 설명했다. 또 그는 “윈도와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치를 생활화하고 신뢰할 수 있는 보안업체 백신을 설치 후 최신 엔진 및 패턴을 업데이트해 실시간 감시 기능을 항상 유지하는 등 보안수칙을 반드시 준수해야 한다”고 덧붙였다.
장윤정기자 linda@etnews.com
