北해커, 탈북자·대북단체 노린 공격 1년간 지속

국내 인터넷 보안업체인 ‘잉카인터넷’은 16일 특정 해커가 HWP(한글파일)의 보안 취약점을 이용해 국내 탈북자 및 대북단체 대표 개인 이메일을 1년 이상 지속적으로 공격한 정황을 확인했다고 밝혔다.

이 보안업체는 이날 본지가 13일 보도한 ‘北해커 좀비PC 악성코드 대북단체에 대량 유포’라는 기사에서 공개한 악성파일을 분석한 결과, 지난해 6월 공개된 ‘탈북인 인적 사항으로 유혹하는 HWP 악성파일’과 동일한 악성파일로 같은 제작자나 조직이 만든 정황근거가 확인됐다며 이같이 전했다.

데일리NK는 최근 세종연구소 등 대북 전문가들의 이름으로 위장한 메일을 통해 탈북자와 대북 단체들에게 악성코드가 대량으로 유포되고 있고 이는 북한의 소행일 가능성이 높다고 지적한 바 있다.

보안업체에 따르면 대북 전문가가 작성한 것으로 위장한 HWP 악성파일을 실행시키면 실제 북한과 관련된 정상적인 문서파일을 보여주면서 동시에 이용자 컴퓨터의 보안 취약점을 이용해 새로운 악성파일이 사용자 모르게 설치된다.

이어 악성파일에 감염되면 홍콩의 특정 호스트로 접속돼 공격자의 추가명령을 수행하는 ‘좀비PC’로 활용될 수 있으며, 정보유출 등의 피해를 입을 가능성이 있다. 현재는 한국인터넷진흥원(KISA) 등 유관기관과 대응해 명령제어(C&C)서버 접속이 차단됐다.

악성파일 내부에 포함된 코드는 보안제품 탐지 우회와 코드 분석을 방해하기 위해 암호화된 형태로 숨겨져 있으며 HWP 파일 작동 시 윈도우의 임시폴더(Temp) 경로에 ‘$EM0001.jpg’ 이름으로 암호화된 악성파일이 생성되고, ‘Shellcode’ 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 ‘svohost.exe’ 파일명의 악성파일이 생성되고 실행된다.

겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보이지만 코드상에는 암호화된 악성파일이 포함되어 있다. 이러한 심층암호 방식은 일종의 스테가노그래피 기법이라 할 수 있고 이는 악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나다.

악성파일이 접속을 시도하는 명령제어 서버는 홍콩 소재 호스트로, 지난해 탈북인 인적 사항으로 위장했던 HWP 악성파일의 C&C 주소와 100% 일치했다. 정상적인 ‘rundll32.exe’ 프로그램을 통해서 악성파일인 ‘GooglePlay.dll’ 파일이 동작하는 구조를 가지고 있다. 또한 ‘mscmos.sys’ 파일을 이용하는 점도 지난해 HWP 악성파일 수법과 동일하다. 더불어 아이콘(MFC)과 프로그래밍 언어(중국어) 역시 지난해 악성파일과 일치한다.

문종현 잉카인터넷 대응팀장은 “HWP 문서파일의 취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 한컴오피스 이용자들은 항시 최신 버전으로 제품을 업데이트해 사용해야 한다”고 말했다.