작년 쓰인 악성파일과 비슷, 동일 조직으로 보여..잉카인터넷 "한컴 오피스 최신 버전으로 업데이트" 당부


국내 탈북자 및 대북단체 이메일이 
1년 이상 지속적으로 공격당해 왔다는 분석 결과가 나왔다.

국내 인터넷 보안업체 <잉카인터넷>은 
대북단체를 대상으로 한글 문서파일(HWP) 보안 취약점을 이용,
국내 탈북자 및 대북단체 이메일을 공격한 
정황 증거를 확인했다고 지난 16일 밝혔다.

이는 지난 13일 데일리NK에서 게재한 
[北해커 [좀비 PC] 악성코드 對北 단체에 대량유포] 
기사에서 소개된 악성파일을 분석한 것으로
지난해 6월경 공개된 
[탈북인 인적 사항으로 유혹하는 HWP 악성파일 등장]에 쓰인 것과
동일한 제작자나 조직이 만든 것으로 보인다.

마치 세종연구소 수석연구원이 작성한 것으로 위장한 HWP 악성파일은
실행되면 실제 북한과 관련된 정상적인 문서파일을 보여주지만
실제로는 보안취약점을 이용해 
이용자 컴퓨터에 새로운 악성파일을 은밀하게 설치하도록 만들어졌다. 

하지만 파일을 열어봐도 
PC 성능이나 프로그램에는 영향을 미치지 않아
상태를 인지하기가 쉽지 않다. 

이 악성파일에 감염되면 
홍콩 특정 호스트로 접속을 시도해 
해커의 추가 명령을 수행하는 [좀비 PC]가 될 수 있으며 
PC 내 정보뿐 아니라 주고 받은 메일 자료까지 유출 되는 등 
각종 정보유출 피해를 입을 수 있다. 

현재 한국인터넷진흥원(KISA) 등 
유관기관과의 대응으로 명령제어(C&C)서버 접속이 차단된 상태다. 

해당 악성파일 내부에 포함된 악의적인 코드는 
보안제품 탐지 우회 및 코드 분석을 방해하기 위해
[암호화된 형태]로 숨겨져 있다.

HWP파일의 보안 취약점 작동 시 윈도우 임시폴더(Temp) 경로에 
[$EM0001.jpg] 이름으로 암호화된 악성파일이 생성되고, 
[Shellcode] 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화돼
[svohost.exe] 파일명의 악성파일이 생성, 실행된다.

겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 
코드 내부적으로는 암호화된 악성파일이 포함돼 있다. 

이러한 심층암호 방식은 일종의 [스테가노그래피(Steganography)] 기법이라 할 수 있다.
악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나다.

악성파일이 접속을 시도하는 명령제어 서버는 홍콩소재의 호스트로, 
약 1년 전에 탈북인 인적 사항으로 위장했던 
HWP 악성파일의 C&C주소와 100% 일치하는 것으로 나타났다.

이는 정상적인 [rundll32.exe] 프로그램을 통해서 
악성파일인 [GooglePlay.dll] 파일이 동작하는 구조를 가지고 있다.

또한, [mscmos.sys] 파일을 이용하는 점도 
1년 전 HWP 악성파일 수법과 동일했다. 

아이콘과 프로그래밍 언어(중국어) 역시 2012년 악성파일과 일치했다.

<문종현> 잉카인터넷 대응팀장은 
HWP 문서파일의 취약점을 이용한 악성파일 공격이 잇따르는 만큼
한컴오피스를 항상 최신 버전으로 업그레이드 할 것을 당부했다.