220420_유명조달기업
탈북민 의견 수렴 설문으로 위장한 북 연계 해킹 발견
상태바
탈북민 의견 수렴 설문으로 위장한 북 연계 해킹 발견
  • 곽중희 기자
  • 승인 2022.05.09 16:41
  • 댓글 0
이 기사를 공유합니다

한컴 오피스 이용 시, 별도 메시지 창 클릭 안내 화면에서 '확인' 버튼 주의해야

북한이탈주민(탈북민)에 대한 의견 수렴 설문지로 위장한 북 연계 해킹 HWP 파일이 유포되고 있어 각별한 주의가 요구된다.

이스트시큐리티는 탈북민 자문 위원을 대상으로 한 의견 수렴 설문지처럼 위장한 해킹이 발견됐다고 5월 9일 밝혔다.

이번 해킹은 HWP 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용해, 문서가 실행될 때 가짜 메시지 창 ‘상위 버전에서 작성한 문서입니다.’ 내용 등을 띄어 자연스러운 클릭을 유도한다.

해당 메시지 창은 평소 HWP 문서에서 많이 볼 수 있는 내용으로 별 의심 없이 ‘확인’ 버튼을 클릭할 경우 해킹 공격에 그대로 노출된다.

이스트시큐리티 시큐리티대응센터에 따르면, HWP 내부에 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat)파일과 파워셸(Powershell) 명령어를 통해 국내 특정 서버 ‘hanainternational[.]net’로 통신을 시도하는 기능까지 확인했다.

특히 명령 제어(C2) 서버로 통신을 시도할 때 외부에 노출되는 것을 최대한 숨기기 위해 작업 스케줄러에 잠복 기능처럼 동작 조건을 추가했으며, 마치 이스트소프트 프로그램처럼 위장하는 수법을 사용한 것으로 파악됐다.

한편, 자유북한운동연합이 지난 4월 25일과 26일 이틀에 걸쳐 경기도 김포지역에서 20개의 대형 애드벌룬으로 약 100만 장의 대북 전단을 살포했다고 주장하고 나선 바 있는데, 이번 악성 파일은 마치 해당 내용의 의견을 수렴하는 것처럼 사칭함으로써 시기 적절하게 공격에 활용된 것으로 보인다.

이처럼 언론 등을 통해 알려진 내용을 그대로 차용해, 공격 효과를 보다 극대화시키기 위한 사이버 위협 전략에 주목할 필요가 있다.

ESRC는 지난 2월 유엔인권사무소 사칭 피싱 공격과 마찬가지로 이번 공격도 국내 서버를 해킹 중간 거점으로 활용했으며, 동일한 작업 스케줄러 이름과 ‘PEACE’, ‘Lailey’ 아이디 등이 공통적으로 사용된 것을 발견했다.

ESRC는 이번처럼 HWP 자체 취약점이 아닌 OLE 방식의 공격이 최근 종종 보고되고 있다며, 자체 보안 취약점이 아니기 때문에 이전 제품부터 가장 최신 버전까지 한컴 오피스 이용자들 모두 별도의 메시지 창 클릭 안내 화면을 보게 될 경우, 더 세심한 주의가 필요하다고 강조했다. 
 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.