한글파일의 글자크기, 외국어, 그림, 효과처리 등 취약점 이용해 오작동 일으켜
백신탐지 우회하도록 사전에 테스트하면서 지능적으로 제작·유포
계정정보 일부, 대북·탈북관련 단체 워터링 홀 공격자 계정과 일치
[보안뉴스 김경애] 북한의 핵실험 이후, 최근 전국 공공기관을 대상으로 대량으로 발송된 청와대 사칭 악성메일이 북한에서 직접 만든 계정으로 분석됐다. 메일 발송시 첨부파일에는 HWP 취약점 파일이 포함됐으며, 한컴 취약점을 주로 이용하는 공격조직은 2015년부터 최근까지 지속적인 공격시도를 감행한 것으로 드러났다.
특히, 북한 추정의 사이버전 조직은 지난 4차 핵실험 이후 본격적으로 활동을 시작했으며, 이번 작전에서는 알려지지 않았던 최신 취약점을 이용했다.
이와 관련 북한 사이버전 전문 연구그룹에 따르면 북한 추정의 사이버전사는 2015년부터 한컴업데이트 위장, MS 업데이트 위장, 프록시 서버 기능, RAT GUI 기능, HWP 오류 위장, HWP 취약점 자동공격 도구 등을 개발해 왔으며, 악성코드 변종 역시 매우 다양한 것으로 알려졌다. 특히, 한컴오피스 2014 VP 공통 요소 9.1.0.3005 버전에 동적 탐지 보안 모듈이 적용됐음에도 취약점으로 인해 공격에 악용된 것으로 분석됐다.
이번 한글취약점은 한글 파일의 글자크기, 외국어, 그림, 효과 처리 부분에 있어서의 취약점을 악용한 경우가 많은 것으로 드러났다.
이와 관련 한 보안전문가는 “한글문서에서 그림이나 글자크기를 표시하려면 내부적으로 값을 처리해야 하는데, 처리하는 코드에 미처 생각하지 못한 값을 넣어 오동작 일으키게 하는 방식을 이용했다”며 “오동작으로 인해 공격자가 만든 코드가 실행된다”고 설명했다.
특히, 이번에 유포된 청와대 사칭 악성메일은 백신에서 진단되지 않도록 우회기법을 사용한 것으로 분석됐다. 이에 대해 한 보안전문가는 “기존 악성코드의 변형으로 백신 진단을 피할 수 있도록 제작됐다”며 “사전에 여러 가지 테스트를 진행한 후 실제 공격에 활용한 것으로 보인다”고 설명했다.
또한, 2016년 스피어피싱 공격과 청와대를 사칭한 악성메일에 사용된 계정정보 중 일부는 2015년 대북 및 탈북 단체 등을 상대로 워터링 홀 공격을 수행할 때 사용한 일부 공격자 계정과 일치한 것으로 드러났다.
이들은 평상시에도 다양한 공격을 통해 거점을 확보하고 정찰활동을 유지한다. 그러다가 평양의 지령에 따라 준비된 거점을 통해 추가작전을 수행하며, 다양한 소프트웨어 프로그램의 취약점을 이용해 공격하는 것이 특징으로 알려졌다.
이에 대해 또 다른 보안전문가는 “북한의 사이버공격은 일상적으로 진행되고 있다”며 “사이버 보안을 안보적인 측면으로 바라봐야 한다”고 당부했다.
이번 사이버공격은 지난 2014년 소니픽쳐스나 한수원 공격 때처럼 노골적인 심리전을 병행하진 않을 것으로 관측되고 있다. 하지만 최신 공격방식을 이용했다는 점과 정상적인 이메일도 다수 발송했다는 점에서 고도의 교란작전일 가능성도 제기된다.
특히, 이번 사건의 경우 이례적으로 중국 정부기관 웹사이트를 해킹해 C&C(명령제어) 서버로 활용하고 있고, 사이버공격 범위가 넓게 확인되고 있어 가급 보안시설 등 공공기관의 보안관제와 보안점검 등에 만전을 기울여야 할 것으로 보인다.
▲사이버위기경보 단계(출처: 국가정보원)
한편, 북한이 4차 핵실험 이후 전단 살포와 무인기 침범 등 대남 도발을 지속하고 있는 상황에 대해 15일 청와대 측은 “북한의 추가 도발 가능성에 대해 철저하고도 면밀하게 대응하고 있다”며 “특히, 최근 공공기관을 중심으로 대량 유포된 청와대 사칭 악성 이메일 사건은 현재 관계 당국 합동으로 면밀히 수사 중에 있다”고 밝혔다.
국가정보원의 사이버위기 경보단계와 한국인터넷진흥원의 인터넷침해사고 경보단계는 15일 오전 11시 43분 기준으로 여전히 ‘관심’ 단계를 유지하고 있다. 또한 사이버안전국의 ‘사이버범죄 주의경고등’의 경우 개인정보 도용이 ‘주의’ 단계로 보통에서 한 단계 격상됐다.