북한 해커들이 국내 병·의료원 증명서 발급 프로그램으로 위장한 해킹 공격을 시도하고 있어 각별한 주의와 대비가 요구된다.
이스트시큐리티는 4일 보도자료를 통해 “병·의료원 증명서 발급처럼 위장한 북 연계 해킹 공격이 포착됐다”며 “이번 공격은 마치 건강 검진 결과 인터넷 조회 및 발급 서비스로 교묘히 위장해 악성 파일이 유포됐다”고 전했다.
단체는 이어 “실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합해 신뢰 기반 속임수를 사용한 것이 특징이다”며 “따라서 해당 프로그램이 설치될 경우 정상적인 병원 증명서 발급 진행이 가능하지만, 동시에 예기치 못한 사이버 보안 위협에 노출된다”고 말했다.
공격 대상자가 해킹 공격을 당했는지 여부를 인지하지 못하게 하려는 해커의 전략이다.
이스트시큐리티 시큐리티대응센터(ESRC)는 “악성 파일은 지난 2월 25일 만들어졌다”며 “하지만 실제 공격이 진행된 시기는 3월이며, 윈도(Windows) 64bit 기반으로 개발됐다”고 전했다.
ESRC는 “해당 파일 내부에는 각각 암호화된 형태로 2개의 리소스가 존재하는데 하나는 정상적인 병원 증명서 발급 프로그램이고, 나머지 다른 하나는 은밀히 백도어(Backdoor) 기능을 수행하는 악성 파일이다”며 “이러한 구조로 악성과 정상 두 개의 모듈이 동시에 설치되지만, 컴퓨터 화면에는 정상 설치 화면만 보이게 된다”고 설명했다.
그러면서 ESRC는 “이번 공격은 지난 2월 국내 공중파 방송국 기자 및 북한 전문 언론사 등에 ‘사내 금융업무 상세내역.zip’ 파일로 수행된 APT(지능형지속위협) 공격과 일본 외교·안보 싱크탱크인 일본국제문제연구소의 동북아시아 군사적 긴장 고조와 일본의 대응 전략 연차보고서처럼 사칭한 공격 사건의 연장선이다”고 했다.
이와 관련, 지난 2월 국내 방송사 대상 공격에서 북한 표기식 단어인 ‘현시’와 공격자가 사용한 ‘Freehunter’ 계정이 발견됐다. ‘Freehunter’ 계정은 과거 북한 해커의 공격에서도 사용된 바 있다.
이번 공격에 사용된 명령 제어(C2) 서버 ‘ms-work[.]com-pass[.]online’도 당시 사용된 C2 서버인 ‘ms-work[.]com-info[.]store’와 주소가 유사하고 주요 함수 구조가 일치한 것으로 나타났다.
이번 공격에 나타난 각종 위협 지표가 이번 공격의 배후로 북한 해커를 정확히 지목하고 있다는 이야기이다.
문종현 ESRC 센터장은 “러시아 소행으로 알려진 데이터 파괴용 악성 파일이 우크라이나에서 다수 보고되고 있는 가운데, 국내도 北 연계 사이버 위협이 꾸준히 발견되고 있다”며 “특히 다가오는 대한민국 대통령 선거와 관련해 사회공학적 해킹 공격이 등장할 수 있다며 각별한 주의와 대비가 필요하다”라고 당부했다.
