침해사고/위협동향

'2차 북미정상회담 좌담회 초청' 미끼로 한 공격 포착...압축파일 유포 중

디지털데일리 발행일 2019-02-28 11:06:46
홍하나

[디지털데일리 홍하나기자] 베트남 하노이에서 2차 북미정상회담이 진행되고 있는 가운데, 정상회담 좌담회 초청을 미끼로 한 지능형지속공격(APT)이 발견됐다. 이번 공격은 압축파일 형태로 유포되고 있다. 압축파일 해제 시 취약점이 정상적으로 작동되면서 악성코드가 시작프로그램에 등록된다. 따라서 컴퓨터가 재부팅되면서 악성코드에 감염되는 특이한 공격 유형을 보인다.

28일 이스트시큐리티의 시큐리티대응센터(ESRC)에 따르면, ACE 압축포맷 취약점(CVE-2018-20250)을 활용한 APT 공격 의심정황이 포착됐다. ACE 압축포맷은 압축형태 중 하나다.

압축파일 내부에는 '북미2차정상회담.hwp' 문서파일과 'Desktop.ini.exe' 악성파일이 담겨 있다. 이 압축파일을 해제하면 암호입력 창이 나타난다. 공격자가 암호화 압축 설정을 통해 맞춤형 공격과 보안탐지 회피 등을 시도한 것으로 보인다고 ESRC는 분석했다.

이번 공격은 압축파일을 활용한 만큼 해제 시 취약점에 노출된다. 문종현 이스트시큐리티 이사는 “메일에 압축파일을 해제하는 비밀번호가 기재되어 있었을 것으로 추정된다”며 “또 이 압축파일에는 정상적인 한글문서가 있는데, 사용자들을 공식 파일처럼 현혹시키기 위한 것”이라고 설명했다.

압축파일은 RAR압축파일 확장자를 가지고 있으나, 내부에 ACE 포맷을 보유하고 있다. 여기에는 파이썬 기반의 악성 파일이 포함됐다. 파이썬은 프로그래머들이 쓰는 프로그래밍 언어다. 이에 ESRC는 ACE 취약점을 활용하고 파이썬 기반 공격벡터를 사용한 점을 고려해 작전명을 히든 파이썬으로 명명했다.

문 이사는 “파이썬 악성코드는 해외에서 공격자들이 많이 활용하고 있는 추세이나, 한국에서는 APT 공격으로 거의 사용되고 있지 않다”며 “자신의 신분을 최소한으로 노출하기 위한 해커의 의도로 보이며, 공격자가 한글을 활용한 점 등 모든 가능성을 열어두고 종합적으로 분석해봐야 한다”고 말했다.

또 RAR 악성파일 내부의 코드구조를 살펴보면 시작프로그램 경로와 생성 파일명이 하드코딩됐다. ACE 취약점에 노출되어 감염이 이뤄질 경우, 기본적으로 'Desktop.ini.exe' 악성파일은 시작프로그램에 등록되며 재부팅 시 자동으로 실행된다.

따라서 재부팅이 되기 전까지 해당 파일은 잠복 대기시간을 유지한다. 공격자는 시작프로그램 경로에 'desktop.ini' 정상 구성 설정파일이 있는 것을 활용해, 파일명과 아이콘을 유사하게 사용해 사용자들이 눈치채지 못하게 한다.

이러한 취약점 노출을 사전에 방지하기 위해 ESRC는 압축 프로그램을 최신 버전으로 업데이트해야 한다고 권장했다. 만약 해당 압축파일을 다운로드했다면, 재부팅을 하지 말고 파일을 전부 삭제해야 한다고 강조했다.

문 이사는 "한국인터넷진흥원(KISA)과 이번 공격에 대해 공조하고 있다"고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스