2014년 한국수력원자력을 해킹 공격한 북한의 해커 조직 킴수키가 최근 해킹을 시도하고 있어 주의가 요구된다.
지난 2014년 정부합동수사단은 한수원 해킹에 사용된 악성코드와 인터넷 접속 IP 등을 분석한 결과, 북한 해커조직이 사용하는 것으로 알려진 킴수키 계열 악성코드와 구성 및 동작방식이 거의 같다며 접속IP 중 5개가 북한 체신성에서 할당된 것이라고 발표한 바 있다.
이스트시큐리티 시큐리티대응센터(ESRC)는 최근 “2014년 한국의 특정 전력회사에 대한 사이버 공격으로 널리 알려진 조직(Kimsuky)이 최근 다양한 지능형지속위협(APT) 공격을 수행하고 있는 정황을 포착했다”며 “지난 5월과 9월에도 (킴수키 계열의) APT 공격이 포착된 적이 있다”고 밝혔다.
해커는 총 4개의 파일을 압축했고, 이 중 ‘개인정보활용동의서’라는 이름의 HWP 파일만 악성코드가 포함되어 있었고 나머지 3개의 PDF 파일은 정상 파일인 것으로 밝혀졌다. 이는 해킹 공격 성공률을 높이기 위한 해커의 치밀한 계산이 담겨 있는 것으로 분석됐다.
ESRC는 “공격자가 스피어 피싱을 시도할 때 악성 문서파일뿐만 아니라 정상적인 PDF 문서파일도 함께 포함해 이용자를 현혹하고 있다”며 “악성 HWP 문서 파일은 실제 관련 내용의 화면을 보여주어 이용자가 정상적인 문서로 오해하도록 유도한다”고 설명했다.
ESRC는 “컴퓨터가 악성코드에 감염되면 (해커가 해킹한 것으로 추정되는) 특정 웹 사이트(rentcar*****.com)에서 추가 악성코드를 내려받아 실행하게 된다”며 “추가 악성코드에 노출될 경우 컴퓨터 자료 유출 및 원격제어 등의 피해로 이어질 수 있다”고 경고했다.
한편, IT전문 매체인 보안 뉴스는 지난 11월 24일 ‘국가안보실 정책자문위원회 전체회의 계획’ 제목의 악성 문서파일이 발견됐으며 악성파일에 감염되면 한국소재 특정 렌트카XXX(rentcar*****.com) 사이트와 통신한다고 보도했다.
ESRC 문종현 이사는 30일 데일리NK에 “개인정보활용동의서, 국가안보실 정책자문위원회 악성파일 모두 렌트카XXX 사이트를 명령제어 서버로 사용하고 있어 동일범의 소행일 가능성이 크다”며 “해커가 사전에 C&C 서버 확보를 위해 국내 웹사이트를 해킹해 악용한 것으로 이 사건 역시 2014년 한수원 해킹 때 사용한 코드기법과 일치한 것으로 분석됐다”고 말했다.
오늘(30일)부터 18일간 남북 철도 공동조사를 진행하는 등 남북 화해 분위기가 무르익고 있지만 한편으로는 북한 해커 조직의 공격으로 의심되는 사이버 공격이 활발해지고 있어 논란이 예상된다.
한편, HWP 문서를 실행하는 한컴 오피스 제품을 최신 상태로 유지하면 악성코드를 방지할 수 있는 것으로 분석됐다.
ESRC는 “현재 HWP 문서 파일에 포함된 포스트 스크립트(EPS) 취약점은 한컴 오피스 제품을 최신 버전으로 업데이트할 경우 위협에 노출되지 않는다”며 “프로그램 이용자분들이 반드시 최신 버전으로 업데이트해 위협요소를 반드시 사전에 제거 할 것”을 당부했다.