외교안보 학술회의 토론 주제 사칭한 北 연계 해킹 공격 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 
남북 외교안보 학술회의 토론 주제와 발제문 요청처럼 위장한 북한 연계 해킹 공격이 등장하여 사용자들의 각별한 주의가 요구됩니다. 

이번 공격은 국내 외교·안보·통일 분야 종사자를 겨냥한 것으로 보이며, 다가오는 학술회의나 연말 행사 참석 대상자로 하여금 일정 문의나 자료 요청처럼 현혹해 이메일로 접근한 것으로 확인되었습니다.

초기에 공격자는 일반 문의처럼 평소 흔하게 접할 수 있는내용의 이메일을 발송하였는데, 이때 별도의 첨부파일이나 URL링크를 의도적으로 넣지 않았습니다. 이후 해당 메일에 회신 등 관심을 보인 인물만 선별하여 추가 공격을 진행하는 이른바 투-트랙 스피어 피싱(Spear Phishing) 공격을 수행했습니다.

이러한 공격 방식은 공격 타깃의 의심을 피하려는 의도를 갖고 있습니다. 일반적으로 침해사고 예방 교육을 받거나 해킹 모의훈련 참여 경험이 있는 사람의 경우, 이메일 내 파일이 첨부되어 있거나 링크가 포함되어 있다면 악성 여부를 의심하여 열어보지 않거나 사내 보안팀에게 전달하는 경우가 많습니다. 하지만 별다른 내용이 없을 경우 의심없이 쉽게 믿고 이메일을 열람하고 회신하기 때문에 이러한 보안 심리와 문제 의식을 교묘히 파고드는 전략을 구사한 것입니다. 

 

공격자는 선별된 공격 대상에 대해 추가로 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달하며, 악성 파일은 ‘바로가기(LNK)’ 파일이지만 정상 PDF 문서처럼 보이는 2중 확장자명을 사용하여 공격 타깃의 실행을 유도하였습니다.

 

 

[그림 1] PDF 문서처럼 위장된 2중 확장자 LNK 악성파일

 

윈도우의 폴더 내 파일확장명 속성이 기본적으로 비활성화 되어 있어, 따로 설정을 변경하지 않으면 [중요 자료.PDF.LNK] 와 같이 2중 확장자 명을 가진 파일이 사용자에게는 [중요자료.PDF] 처럼 PDF 파일로 보여지는 원리를 악용한 것입니다.

해당 ‘바로가기(LNK)’ 파일의 속성을 살펴보면, 실행 대상 명령어에 ‘mshta.exe’ 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 은밀히 통신을 시도하는 명령이 포함돼 있습니다. 

새로 식별된 거점 서버는 이미 국내 침해사고 사례에서 대표성을 가지며, 지속 포착 중인 ‘웹 프리 호스팅’ 도메인으로 생성됐고, 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나라는 점이 주목할만한 점입니다.

공격자가 구축한 본진 서버와 통신이 이뤄지면, 추가 스크립트 및 파워셸 명령에 따라 사용자 컴퓨터 환경과 내부 프로그램 정보 등을 조회 수집해 탈취를 시도합니다. 이때 새로운 서버(cimoon.scienceontheweb[.]net)가 식별됐는데, ‘cimoon’ 키워드의 경우 국내 침해사고에서 종종 보고되며, 특정 인물의 아이디로 알려져 있습니다.

분석결과 공격자는 피해자의 의심을 최소화 하기 위하여 피해자의 로컬 환경에 존재하는 악성 LNK 파일이 작동 후 개인 정보가 유출될 경우 해당 LNK 파일을 삭제하고, 정상 PDF 문서로 교체하는 명령까지 준비하는 등 명령 서버에 치밀한 준비를 해둔 것으로 확인되었습니다. 

또한 서버에 여러 파일들이 존재했던 것으로 분석되었는데, 이는 공격자가 다양한 형태의 공격을 준비한 정황으로 볼 수 있습니다. 공격자는 대용량 첨부파일 링크를 통해 정상 PDF 문서로 교체를 시도했지만, 링크 클릭 시점에 따라 파일이 정상적으로 받아지지 않을 수도 있습니다.

 

 

[그림 2] 악성 LNK 파일을 정상 PDF 파일로 교체하는 명령 화면

공격자들은 LNK 악성파일을 이메일에 첨부할 때 확장명이 보이지 않도록 하기 위해 보통 ZIP이나 RAR 등으로 압축하므로, 압축을 해제하기 전에 압축 파일 내부의 파일 목록을 먼저 살펴보고 실행하는 것이 해킹공격을 예방하는데 큰 도움이 됩니다. 

우리나라는 북한 배후 및 소행으로 지목된 사이버 안보 위협이 일상화 된지 오래됐고, 정치 사회적 이슈나 혼란을 틈타 공격을 감행하는 것을 명심해야 합니다. 

연말연시의 들뜬 분위기를 노린 경우와 송년회, 학술대회 등을 사칭한 공격이 지속될 수 있는 만큼 사용자들의 각별한 주의를 권고 드립니다.

이스트시큐리티는 새롭게 발견된 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 하였으며, 현재 한국인터넷진흥원(KISA) 등 관련 부처와 유사 피해 확산 방지를 위해 면밀히 협력하고 있습니다.