2021-12-09 20:20 (목)
북한 해킹 조직 탈륨, ‘찌라시’로 위장한 악성 문서 유포…주의
상태바
북한 해킹 조직 탈륨, ‘찌라시’로 위장한 악성 문서 유포…주의
  • 길민권 기자
  • 승인 2020.11.27 00:30
이 기사를 공유합니다

탈륨, 국내 공공기관에서 주로 사용하는 HWP 문서 악용해 공격 시도…주의 해야
사설정보지로 내용을 채운 악성 HWP 파일 샘플.
찌라시 형태의 악성 HWP 파일 샘플.

사설정보지(속칭 ‘찌라시’)로 위장한 북한 해커 조직의 악성 한글 파일(HWP)이 발견돼 각별한 주의가 요구된다.

해당 문서는 ‘정세균 총리 교체 시기 미뤄질 수도’, ‘비서실장직 선긋는 양정철’ 등 정치, 외교, 사회 등 언론 보도와 출처를 알 수 없는 소문 등을 짜깁기 한 내용으로 이뤄져 있어 호기심을 자극하는 문서다.

이 악성 문서는 공격 방식이나 특징으로 미뤄볼 때 북한 해킹 조직 ‘탈륨(Thallium)’에 의해 제작된 것으로 파악되고 있다. 또한 문서는 수정/편집이 불가능한 ‘한글 배포용 문서’로 제작되어 있다. 배포용 문서 기능은 공공기관에서 공문 등을 보낼 때 사용하는 것으로, 이를 통해 마치 기관에서 제작한 문서인 것처럼 위장하고 있다.

이번 공격은 한컴 오피스 OLE(객체 연결 삽입) 기능을 악용해 숨어있는 HTA(HTML 응용프로그램)을 실행한 뒤 C&C(명령제어) 서버와 통신해 추가적인 명령을 실행한다.

HTA 파일은 웹 브라우저를 기반으로 작동하는 응용 프로그램으로 HTML은 물론 자바스크립트, 비주얼 베이직 스크립트 등 다양한 코드로 작성된 기능을 수행할 수 있습니다. 이번 공격에 쓰인 HTA 파일 역시 PC 정보 확인, 명령 제어 서버와 통신을 통한 추가명령 수행 등의 기능을 갖춘 것으로 보인다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 이러한 공격은 탈륨이 즐겨 사용하는 방식이다. 이달 초에는 ‘미국 대선 결과 예측 언론사 내부 문건’으로 위장한 HWP 문서로 공격을 시도한 바 있으며, 지난달에는 북한 내부 정보로 위장한 HWP 문서 이 같은 공격을 수행한 바 있다. 당시에는 HTA 대신 비주얼 베이직 스크립트 코드를 실행하는 방식을 사용했으나, 공격 매커니즘은 완전히 동일하다고 밝혔다.

과거 HWP 문서를 이용한 공격은 포스트 스크립트 취약점과 셸코드를 결합한 방식이 많았으나, 한컴 오피스 최신 버전에서는 해당 취약점이 개선된 만큼 OLE 기능을 통해 추가 명령을 실행하는 방식으로 노선을 변경한 것으로 보인다.

OLE는 한컴 오피스의 정상 기능이며, 해당 파일이 바이러스 정의 DB에 등록되기 전까지는 안티 바이러스 등의 보안 소프트웨어에서 탐지하기도 어렵다.

OLE 기능이란 문서 내에 링크나 이미지 혹은 패키지 등 다른 파일을 쉽게 삽입하고 이를 연결하는 기능으로, 기본 설정 상태에서 사용자 동의 없이는 자동 실행되지 않는다. 이 때문에 사용자가 궁금할 만한 내용으로 문서를 만들고, 객체 클릭 시 나타나는 실행 경고에 대해 무의식적으로 허용을 누르게 만든다.

기본적으로 차단된 악성코드가 사용자 부주의에 의해 실행되는 것이다. 여기서 사용자가 명심해야 할 점은 화면에 나타나는 경고창 내용이 어떤 의미인지 완벽하게 파악하지 못했을 때는 ‘실행’이나 ‘허용’을 누르는 것이 아닌 ‘취소’를 눌러야 한다는 점이다.

탈륨은 지능적인 공격 기법을 사용한다. 악성코드를 실행하면 PC 정보를 수집해 해당 PC가 가상머신이나 샌드박스 같은 분석 시스템은 아닌지 파악하고, 추가적인 악성 행위를 멈춘다.

반면 실제 표적 대상이라고 판단될 경우 명령 제어 서버를 통해 정보유출 등 추가적인 악성 행위를 한다. 이러한 방식을 통해 보안 솔루션을 회피하고, 공격 기법이 노출되는 것을 막고 있다.

ESRC는 “최근 탈륨은 국내 공공기관에서 주로 사용하는 HWP 문서를 악용해 공격을 시도하고 있다. 특히 OLE는 취약점이 아닌 기본기능이다”라며 “최신 업데이트를 마친 소프트웨어를 사용하더라도 사용자 부주의로 공격에 노출될 수 있다. 사용자의 기본적인 보안 의식이 무엇보다 중요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★