3개 해킹조직이 악성 한글문서를 이용해 국내 사이버 공격에 집중한 것으로 드러났다.
금융보안원은 2015년부터 올해 상반기까지 악성 한글문서를 분석해 '한글 문서를 이용하는 악성코드 프로파일링' 보고서를 6일 냈다. 보고서에 따르면 블루노로프, 김수키, 스카크러프트 등 3개 위협그룹이 주로 한국을 표적으로 활동한다. 금보원은 그룹별로 악성 한글문서 특징과 추가로 생성되는 악성코드 차이를 분석했다.
3개 조직은 특정 대상에 사회공학 기법으로 스피어피싱 이메일을 발송한다. 첨부된 한글문서 파일을 열람하게 만든 후 악성코드에 감염시킨다. 이메일 수신자가 신뢰하도록 구체적 제목과 내용을 담는다. 공격 성공률을 높이기 위해 정부나 공공기관을 사칭해 조사와 협조 요청 관련 내용을 이용한다. 이메일 발신 주소는 국내 포털 이메일이 많은데 일반 사용자 계정을 탈취해 악용한다.
블루노로프는 2016년 2월 방글라데시 중앙은행 SWIFT 부정거래 사고를 일으킨 그룹이다. 시만텍과 카스퍼스키랩, BAE시스템즈 등은 블루노로프가 소니픽처스 해킹으로 유명해진 '라자루스' 그룹과 연관됐다고 본다. 미국 정부는 라자루스가 북한 해킹 조직이라고 지목했다. 라자루스는 블루노로프와 같은 조직에 존재하는 다른 성격의 팀으로 추정된다.
라자루스는 3·20 사이버테러 사태와 같은 사회 혼란 목적 공격을 주로 담당한다. 블루노로프는 금전 이득을 취하는 공격을 주로 한다. 최근에는 국내 암호화폐 거래소 공격을 시도했다. 2017년 4월부터 악성 한글문서에서 블루노로프 공격도구가 포착됐다. 올해 6월에도 암호화폐 거래소와 이용자 대상 블루노로프 위협이 지속된다.
김수키 그룹은 2013년 9월부터 국내 주요 그룹 지능형지속위협(APT) 공격을 감행했다. 김수키는 주로 원격제어도구 '팀뷰어'와 웹 메일을 이용한 통신채널을 구성한다. 김수키는 2014년 12월 한국수력원자력 직원에 5986통에 달하는 스피어피싱 이메일을 발송했다. 악성 한글문서가 첨부된 공격이다. 김수키는 금전취득보다 사회 혼란과 탈북자, 정치인 감시를 주로 한다. 김수키는 2016년 1월 정부연구기관 대상으로 '청와대 국가안보실'을 사칭한 이메일을 발송했다.
스카크러프트는 2012년부터 활동하며 국내 유명기관과 정치단체 대상으로 데이터 탈취와 파괴를 수행하는 공격 그룹이다. 스카크러프트는 한글 문서 내 EXE나 VBS 등 실행 파일을 삽입하거나 파일 취약점을 이용한다. 올해 1월 어도비 플래시 제로데이 취약점을 이용한 공격 배후로 추정된다.
국내 공공기관과 민간 기업은 한글문서를 주로 쓰는 특수 환경으로 공격자는 지속해 악성 행위를 수행한다. 금보원은 “여전히 구버전 한글 워드프로세서를 이용하는 사용자가 많아 위협에 계속 노출된다”면서 “최신 버전으로 업그레이드하면 보안 사각지대를 제거할 수 있다”고 밝혔다.
김인순 보안 전문기자 insoon@etnews.com