침해사고/위협동향

韓·美 타겟 문서파일 공격 포착...공격조직, 사행성 SW 개발로 '외화벌이'

홍하나
[디지털데일리 홍하나기자] 최근 한국과 미국에서 동일한 수법의 사이버 공격이 포착됐다. 공격에 사용된 아이디(ID)와 이메일 등을 추적한 결과, 이들은 지난 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일한 조직인 것으로 밝혀졌다.

또 이 공격조직은 사행성 소프트웨어(SW) 제작을 통해 외화벌이를 하고 있다는 분석이 나왔다. 보안업계에서는 공격자들의 이러한 활동이 향후 잠재위협이 될 수 있다고 우려하고 있다.

16일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 최근 한수원 해킹 배후로 지목된 공격조직 ‘김수키(Kimsuky)’가 한국과 미국에 지능형지속(APT) 공격을 한 것으로 나타났다. 한국에서는 HWP 문서파일 취약점을 이용하고, 미국에서는 DOC 문서파일 취약점을 활용해 표적 공격을 수행하고 있다.

앞서 지난 5월 1일, ESRC는 악성 DOC 문서가 첨부된 스피어피싱 공격을 발견됐다. 이 공격은 동북아 안보 문제와 북한을 전문적으로 연구하는 미국의 특정 싱크탱크 소속의 연구원이 보낸 것처럼 위장했다. 특이한 점은 이 문서에 암호설정 기능이 적용됐다는 것이다.

다음날인 5월 2일, 한국에서는 '안보정세-북·러 정상회담 결과보고.hwp' 파일명으로 대북관련 한국인 종사자에게 공격이 수행됐다. 마찬가지로 암호설정 기능이 적용됐다.

해커는 고의적으로 문서파일에 암호설정 기능을 적용했다. 암호설정을 하면 문서 내부 취약점 코드가 암호화된다. 파일문서의 암호를 입력하기 전까지는 악성 기능이 실행되지 않기 때문에 백신 서비스를 우회한다. 하지만 사용자가 암호를 입력할 경우, 문서 파일이 열리고 악성코드가 실행된다.

문종현 ESRC 센터장은 “보안 서비스는 유해 코드를 식별하기 위해 문서 포맷의 내부에 접근해야 하는데, 자체 암호화 기능이 적용된 경우 분석이 어렵다”며 “또 오히려 암호화된 문서파일이 수신자 입장에서는 정상파일로 착각하도록 한다”고 말했다.

아울러 이 공격 조직은 사이버 첩보 활동뿐만 아니라, 실제 프로그램 주문개발 사이트를 통해 다양한 SW 제작 대행을 맡아 외화벌이를 하고 있는 것으로 나타났다. 암호화폐 및 사행성 도박게임 분야의 전문 개발자로 둔갑해, 여러 프리랜서 사이트에서 암호화폐 거래 및 마이닝 프로그램이나 사행성 도박 게임, 악성프로그램 개발을 대행하고 있다.

또 이 과정에서 카카오톡, 스카이프, 텔레그램 등의 메신저 서비스를 통해 거래 사실을 숨기고 있는 것으로 나타났다. ESRC는 아직까지 외부에 공개된 바 없는 이번 공격을 ‘아웃소싱 어택’으로 명명했다.

하지만 문제는 공격조직의 SW 개발 대행이 잠재적인 사이버 위협이 된다는 것이다. 문종현 센터장은 “SW 개발 의뢰가 온라인을 통해 이뤄지기 때문에, 의뢰자들은 프로그램 제작자를 확인할 수 없다”며 “따라서 공격조직이 프로그램 제작 과정에서 악성코드를 삽입할 수 있으며, 이는 향후 잠재적 위협 요소로 작용할 수 있다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr
홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널