북도발에 한미연합훈련 국가총력전으로 시행
북 사이버공격 줄줄이 포착, 대북 관련 내용의 악성 워드 문서 꾸준히 유포
사회공학적 기법, 여러 단계 공격코드 실행, 국방 관련 기관의 보안 취약점이 공격 연결
[보안뉴스 기획취재팀] 지난 7월 29일(현지시간), 한미 양국은 국방장관회담을 통해 지속되는 북한의 도발에 공동대응할 것이라고 밝혔다. 이러한 가운데 북한발 사이버공격도 연일 포착되고 있어 이용자들의 각별한 주의가 필요하다.
![[보안뉴스 / 8.2.] 북 도발 대비한 한미훈련... 사이버 공격으로 응수하나?](http://www.boannews.com/media/upFiles2/2022/08/943063960_1275.jpg)
[이미지=utoimage]
한미 양국이 2022년 후반기 연합훈련을 정부훈련(을지연습)과 통합 및 확대하고, 탄도미사일 방어체계와 미 전략자산의 한반도 지역 전개를 포함한 동맹의 억제태세를 강화해나가기로 했다. 이에 북한은 매체를 통해 용납하지 못할 도전이라고 거세게 비난하며, 남북간의 긴장감도 더욱 고조되고 있다.
이러한 가운데 대북 관련 내용의 악성 워드 문서가 지속적으로 탐지되 사용자들의 주의가 요구된다. 특히 북한의 해커조직인 김수키로 분석돼 주목되고 있다. 이와 관련 안랩의 ASEC 분석팀은 “대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인했다”고 밝혔다.
![[보안뉴스 / 8.2.] 북 도발 대비한 한미훈련... 사이버 공격으로 응수하나?](http://www.boannews.com/media/upFiles2/2022/08/943063960_1371.jpg)
▲첨부파일 없이 전송한 1차 공격 이메일 화면[자료=안랩]
확인된 워드 문서는 안랩 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 공개된 ‘2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서’와 ‘외교/안보 관련 내용의 워드문서 유포 중’에서 공유한 워드 문서 유형으로 확인되었다.
악성 워드 문서 파일명은 △김** 이력서(한미**협회,220711).doc △양**_**재단 중간보고(220716).doc △자문 요청서.doc 등 다양하다.
특히 1차 공격 메일에는 워드 문서를 첨부하지 않고 수신자가 해당 메일에 대해 긍정적으로 답변할 경우에만 워드 문서를 다운로드 할 수 있는 악성 URL을 삽입해 회신하는 것으로 확인됐다. 만약 사용자가 요청을 거절한 경우에는 공격자의 회신에 악성 링크를 포함시키지 않는 것으로 파악됐다.
![[보안뉴스 / 8.2.] 북 도발 대비한 한미훈련... 사이버 공격으로 응수하나?](http://www.boannews.com/media/upFiles2/2022/08/943063960_2738.jpg)
▲사용자가 요청을 수락한 경우 워드문서 링크삽입한 2차 공격 이메일 수신 화면[자료=안랩]
악성 링크를 클릭하면 추가 악성 URL이 포함된 페이지가 확인되며, 사용자의 로그인 정보 수집과 악성 워드 문서를 다운로드 했을 것으로 안랩은 분석했다. 악성 워드 문서를 실행하면 매크로 실행 유도 문구와 한글로 작성된 이미지가 나타나는데, 콘텐츠 사용 버튼을 클릭하면 악성 파일임을 알아채지 못하도록 자문 요청과 관련된 문서가 보여진다.
![[보안뉴스 / 8.2.] 북 도발 대비한 한미훈련... 사이버 공격으로 응수하나?](http://www.boannews.com/media/upFiles2/2022/08/943063960_1782.jpg)
▲매크로 실행 유도 이미지[자료=안랩]
워드 문서에는 VBA 매크로가 포함되어 있으며, 특정 URL에 접속하는 행위를 수행한다. 매크로가 실행되면 AppData\Roaming\Microsoft\Templates 폴더에 version.ini 파일을 생성한다. 이후 wscript.exe를 통해 생성한 ini 파일을 실행한다.
이와 관련해 안랩은 “현재 URL에 접속이 불가해 이후 행위는 확인이 불가 하지만, 이전에 확인된 ‘탄소배출 전문기업 타겟 워드문서 공격’과 유사하게 사용자 PC 정보 유출 등의 행위가 수행되었을 것”이라고 분석했다.
이보다 앞서 국방연구의 논문심사를 요청한다는 메일로 접근해 악성파일을 첨부한 스피어피싱 공격도 탐지된 바 있다. 발견된 이메일에 따라 다운로드되는 파일명은 ‘논문(국방대 65-2-12).doc’, ‘KIMS-CNA Webinar 세부계획 초안.doc’ 등이며, ‘예비역 단체의 국방정책 참여 방안 고찰 제목’의 워드 문서와 ‘KIMS-CNA 웨비나 계획(초안)’ 제목으로 위장했다.
이처럼 최근 문서를 악용한 악성메일 공격이 줄줄이 포착되고 있다. 이스트시큐리티 문종현 이사는 “한미연합훈련 시기와 맞물려 군 장성급 출신 및 국방 전문가를 대상으로 8월1일 ~2일 대대적인 공격이 포착됐다”며 주의를 당부했다. 또한 7월 27일 이후 추가 징후와 관련해 안랩은 “문서를 악용하는 유사한 공격이 많아 추가 징후 확인은 어려우나, 예의주시하고 있다”고 밝혔다.
이번에 발견된 악성메일 공격 특징은 악성메일을 쉽게 클릭할 수 있도록 기관, 협회 등을 사칭해 접근하는 사회공학적 기법을 사용한 점과, 공격자가 공격 코드를 여러 단계로 나눠 다운로드 하고 실행하는 기술을 사용했다는 점이다. 여기에 국방 관련 기관이나 협회 단체의 취약점이 공격에 연결고리로 작용될 수 있어 더욱 각별한 주의가 필요하다.
이와 관련, 익명의 보안전문가는 “최근 공격자들은 공격 관련 코드를 여러 단계로 나누어 다운로드하고 실행하는 ‘Multi-Stage’ 기술을 적극적으로 사용하고 있다”며, “공격자가 공격이 끝난 이후 중간단계 코드를 공격자의 서버에서 삭제하면 추적이 어려워지는데, 이번 공격에는 이러한 기술에 더해 사회공학 기술까지 추가된 것 같다”고 분석했다. 그러면서 “이제는 공격 대상 중 적극적으로 반응한 일부만이 공격 코드를 받게 되어, 초기 단계에서 공격을 탐지하기가 더욱 어려워 질 것”이라며 주의를 당부했다.
스틸리언 신동휘 CTO는 “기본적으로 이런 문서에 감염되는 곳은 국방부가 아니다. 국방 분야에 여러 조직이 많은데 회원리스트 공개부터, 웹사이트 운영 관리, 지메일, 네이버, 다음과 같이 개인 메일을 사용하는 등의 취약한 고리가 많다”고 지적하며 “이처럼 과거부터 있었던 워드 파일을 활용한 공격과 사회공학적 기법을 적용한 공격에는 이메일이나 메시지를 수신한 사용자의 보안 의식 그리고 사용하는 시스템 환경의 보안 수준이 중요한 만큼 기본적인 것에 충실해야 한다”고 당부했다.
고려대학교 정보보호대학원 이상진 교수는 “공격 대상자의 변화에 따라 hwp 한글파일에서 워드 파일로 변화하고 있다”며 “사회공학적 기법을 막기란 쉽지 않아 이메일 시스템에서 막아주거나, VMWARE, 또는 악성코드를 잡아내는 등 첨부파일 점검 역할이 제대로 이뤄져야 한다. 악성코드가 내부정보를 외부로 전송하는 것을 차단하기 위해 관리자가 아닌 계정에서 이메일 파일을 열어보는 등 보안에 신경써야 한다”고 강조했다.
안랩 ASEC 분석팀 양하영 팀장은 “최근 공격자들의 피싱메일 공격방식이 교묘해져 사용자가 PC 감염여부를 인지하기 어려운 경우가 많다”며 “출처를 알 수 없는 이메일의 첨부파일은 실행하지 말고, 주기적으로 보안 패치를 진행하는 등 기본보안 수칙을 실천해야 대인과 조직의 정보를 지킬 수 있다”고 말했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 8.2.] 북 도발 대비한 한미훈련... 사이버 공격으로 응수하나?](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")