HWP 악성파일 유포조직 실태 확인.... 1년 이상 공격 중

글로벌 정보보안 전문기업인 잉카인터넷(대표 주영흠, www.nprotect.com) 대응팀은 2013년 09월 13일 대북언론매체인 데일리NK 뉴스 “北해커 '좀비 PC' 악성코드 對北 단체에 대량유포” 라는 제하의 기사에 소개된 악성파일을 분석해 본 결과 약 1년 전 2012년 6월경 대응팀이 공개한 “탈북인 인적 사항으로 유혹하는 HWP 악성파일 등장"에 쓰인 악성파일과 동일한 제작자나 조직이 만든 정황근거가 확인 됐다고 발표했다.

마치 세종연구소 수석연구원이 작성한 것으로 위장한 HWP 악성파일은 대북단체 사람들에게 이메일로 전파되었으며, 실행되면 실제 북한과 관련된 정상적인 문서파일을 보여주지만, 실제로는 보안취약점을 이용해 이용자 컴퓨터에 새로운 악성파일을 은밀하게 설치하도록 만들어져 있다. 이 악성파일에 감염되면 홍콩의 특정 호스트로 접속을 시도하여 공격자의 추가명령을 수행하는 이른바 “좀비 PC”로 만들 수 있으며, 예기치 못한 각종 정보유출 등의 피해를 입을 수 있다. 현재는 한국인터넷진흥원(KISA) 등 유관기관과 긴밀하고 신속한 대응으로 명령제어(C&C)서버의 접속이 차단 조치된 상태이다.

해당 악성파일 내부에 포함된 악의적인 코드는 보안제품 탐지 우회 및 코드 분석을 방해하기 위해서 암호화된 형태로 숨겨져 있으며, HWP파일의 보안 취약점 작동 시 윈도우의 임시폴더(Temp) 경로에 “$EM0001.jpg” 이름으로 암호화된 악성파일이 생성되고, Shellcode 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 "svohost.exe" 파일명의 악성파일이 생성되고 실행된다.

겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 코드 내부적으로는 암호화된 악성파일이 포함되어 있다. 이러한 심층암호 방식은 일종의 스테가노그래피(Steganography) 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나이다.

악성파일이 접속을 시도하는 명령제어 서버는 홍콩소재의 호스트로, 약 1년 전에 탈북인 인적 사항으로 위장했던 HWP 악성파일의 C&C주소와 100% 일치하는 것으로 나타났고, 정상적인 "rundll32.exe" 프로그램을 통해서 악성파일인 "GooglePlay.dll" 파일이 동작하는 구조를 가지고 있다. 또한, mscmos.sys 파일을 이용하는 점도 1년 전 HWP 악성파일 수법과 동일하다. 더불어 아이콘(MFC)과 프로그래밍 언어(중국어) 역시 2012년 악성파일과 일치한다.

이런 대표적인 몇 가지 단서만을 놓고 보아서도 금번 HWP 악성파일 제작 유포조직이 1년 넘도록 국내 대북단체 등을 노리고 교묘하고 지능적인 공격을 꾸준히 벌이고 있다는 것을 확인할 수 있다.

잉카인터넷 문종현 대응팀장은 ‘한글(HWP) 문서파일의 취약점을 이용하는 불특정 공격자가 한국 내 북한관련 단체 및 특정 기업ㆍ기관을 상대로 은밀하고 지속적인 침투활동을 1년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다.’면서 ‘HWP 문서파일의 취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 한컴오피스 이용자들은 항시 최신 버전으로 제품을 업데이트 하여 사용하여야 한다.’라고 거듭 강조하였다.