北 선전매체 ‘메아리’서 악성코드 유포…접속만 해도 감염

북한 선전매체 ‘메아리’. /사진=웹 아카이브 캡처

최근 북한 인터넷 대외선전매체 ‘메아리’에서 악성코드가 유포된 것으로 전해졌다. 구글 크롬 브라우저의 최신 취약점을 이용한 제로데이(Zero-Day) 공격으로 웹사이트에 접속하기만 해도 악성코드에 감염돼 주의가 요구된다.

문종현 이스트시큐리티 시큐리티 대응센터 이사는 4일 본지에 “당시 메아리에 삽입됐던 악성코드는 구글 크롬 브라우저용 제로데이(CVE-2019-13720) 공격”이라면서 “크롬 브라우저로 접속할 경우 악성코드에 노출될 수 있다”고 전했다.

여기서 제로데이는 소프트웨어에서 최근 발견된 보안 취약성으로 아직 소프트웨어 제조업체가 수정하지 못한 것을 일컫는다. 이 때문에 소프트웨어가 최신상태일지라도 제로데이 공격이 발생하면 해당 소프트웨어 이용자는 보안 위협에 노출된다.

현재 구글은 해당 취약점에 대한 업데이트를 지난달 31일 진행했다. 때문에 지난달 31일 이전 ‘메아리’를 방문한 사용자는 악성코드에 감염됐을 가능성이 높다고 볼 수 있다.

전문가들은 해당 취약점을 이용한 다른 공격이 있을 수 있어 크롬 브라우저를 최신상태로 업데이트 할 것을 권고하고 있다.

제로데이 취약점을 노린 악성코드가 북한 선전매체 ‘메아리’에 심어져 있다. / 사진=이스트시큐리티 시큐리티대응센터 제공

국내에서 북한 웹사이트 접속은 차단돼 있어 피해가 크지 않을 것으로 예상된다. 다만 북한 관련 정보를 취합하기 위해 가상사설망(VPN)을 통해 웹사이트에 접속한 기자, 북한 전문가, 연구자 등은 악성코드에 감염됐을 수 있다는 것이 전문가의 설명이다.

일각에서는 북한이 일반인들보다 북한 관련 정보를 취급하는 전문가들이 사이트에 우회접속한다는 사실을 노리고 워터링홀(Watering hole) 공격을 자체 사이트에 준비한 것 아니냐는 주장도 제기된다.

워터링 홀 공격은 제로데이 취약점을 이용해 특정 웹사이트에 악성코드를 심어두고 사용자가 해당 사이트에 접속하면 악성코드에 감염시키는 방식이다.

악성코드에 감염되면 웹사이트 방문자들의 PC 내부정보가 탈취되고 해커에 의해 원격으로 제어되는 등 피해로 이어질 수 있다.

크롬 브라우저용 공격이기 때문에 파이어폭스나 이를 기반으로 한 토르 브라우저 등은 영향을 받지 않는다.

다만, 이번 사건이 북한이 직접 악성코드를 유포한 것인지 외부 해커가 북한 사이트를 해킹해 악성코드를 심은 것인지 여부는 정확히 확인되지 않았다.

한편, 북한은 과거에도 웹사이트 방문자를 노리고 악성코드를 퍼트린 사례가 있다.

지난 2013년 북한 대외 선전매체 내나라가 악성코드를 전파한다는 이유로 구글로부터 접속 차단당했고, 2015년에는 조선중앙통신 웹사이트가 플래시 플레이어(Flash player) 업데이트로 위장해 악성코드를 유포한 바 있다.

소셜공유