‘사례비 지급의뢰서’…북한, 목표 대상에 악성 MS워드 문서 발송

페이지 정보

작성자 cfpa 댓글 0건 조회 1,965회 작성일 21-08-30 14:08

본문

출처 : 데일리NK


https://www.dailynk.com/%ec%82%ac%eb%a1%80%eb%b9%84-%ec%a7%80%ea%b8%89%ec%9d%98%eb%a2%b0%ec%84%9c-%eb%b6%81%ed%95%9c-%eb%aa%a9%ed%91%9c-%eb%8c%80%ec%83%81%ec%97%90-%ec%95%85%ec%84%b1-ms%ec%9b%8c%eb%93%9c-%eb%ac%b8/



북한이 국내 정부와 기관 관계자들로 속인 사이버 공격을 이어가는 가운데, 이번에는 특정 대학 신문사를 사칭한 공격이 포착됐다. 지인, 유관기관 관계자로 위장한 피싱 공격에 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터장을 맡고 있는 문종현 이사는 27일 데일리NK에 “동국대 학보사에서 보낸 사례비 지급의뢰서로 위장한 악성 MS Word 문서가 발견됐다”며 “해킹에 사용된 악성 문서를 분석한 결과, 공격 배후가 북한 해킹 조직 탈륨으로 나타났다”고 전했다.

탈륨은 지난 2014년 한국수력원자력 해킹의 배후로 알려진 김수키와 같은 조직으로 알려졌다.

문 센터장은 “공격자는 원고문 작성에 대한 소정의 사례비 명목을 빌어 일부 대북 연구 분야 교수들에게 악성 파일을 열어보도록 유도했다”며 “악성 문서를 활용한 스피어피싱 공격이다”고 말했다.

스피어피싱은 무작위 인원 대상이 아닌 목표가 되는 사용자를 정확히 노린 공격이다. 스피어피싱 공격은 목표에 대한 자세한 정보를 기반으로 사회공학적 기법을 적용해 공격하기 때문에 약간만 방심하면 해커의 덫에 걸리게 된다.

해커가 공격에 사용한 방식은 워드 문서의 매크로 기능을 이용해 악성코드가 실행되게 하는 방식이다. 일반적으로 문서를 열었을 때 상단에 보안경고 메시지가 나오면서 악성 매크로를 차단한다. 이에 해커는 미리 준비한 화면으로 사용자가 매크로 기능을 활성화하도록 유도한다. 이때 ‘콘텐츠 사용’ 버튼을 누르면 악성 명령이 작동된다.

악성 명령이 작동하면, 해커가 만든 원격지 서버에서 암호화된 추가 악성코드가 설치되고, 키보드 입력 내용을 포함해 각종 개인정보 탈취가 진행된다.

탈륨은 외교 안보 국방 통일 분야 관계자를 상대로 지속적인 해킹 공격을 시도하고 있으며. 최근 PDF 취약점과 함께 DOC 악성 문서를 주 무기로 사용 중이다.

문 센터장은 “(해커가) 실제 진행된 행사나 세미나 참석비, 기고문 사례비 등으로 수신자들을 교묘하게 현혹하고 있다”며 “유사한 위협에 노출되지 않도록 반드시 발신자와 통화 등으로 발신 내용을 교차 확인 후에 문서를 열어보는 것이 중요한 시점이다”고 당부했다.

2020년 7월부터 2021년 7월까지 국내 웹 브라우져 이용현황. 지원이 중단된 IE를 이용한 사람이 꾸준히 감소하고 있지만 소수의 사람들이 여전히 IE를 사용하고 있다. / 사진=StatCounter 캡처

한편, 해커는 워드(DOC), PDF, 한글(HWP) 문서의 취약점뿐만 아니라 브라우저 취약점을 이용한 공격도 시도하고 있다.

미국 마이크로소프트는 자사의 인터넷 브라우저인 ‘인터넷 익스플로러(IE)’, ‘엣지 레거시’에 대한 지원을 중단했다. 더는 브라우저 취약점에 대해 기술지원을 하지 않는다는 이야기다. 개발사의 보안 지원이 멈춘 웹 브라우저는 해커에 의해서 악용되며 사용자는 해킹 피해를 볼 위험이 크다. 마이크로소프트는 새로운 운영체제 윈도 11에서 IE 사용을 제한하고 있으며 크로미움 기반의 새로운 엣지 브라우저 사용을 권고하고 있다.

그러나 인터넷 웹브라우저와 운영체계 등 인터넷 사용 경향을 분석하는 아일랜드 업체인 스탯카운터(Statcounter)에 따르면 지난 7월 국내에서 IE를 사용하는 사람은 전체 이용자의 2.61%이다. 액티브X 영향으로 IE를 오랫동안 사용해온 사용자들이 기존 브라우저를 계속 이용하는 것이다. 이들은 모두 해커의 보이지 않는 공격 위협에 무방비로 노출된 상황이다.

최근 북한 해커가 본지 사이트에 삽입한 악성코드 역시 IE, 엣지 레거시에서만 작동한다. 지금이라도 IE, 엣지 레거시 사용을 중단해야 한다.

전문가들은 해커들의 수법이 하루가 다르게 고도화, 지능화되고 있어 공격을 완벽히 대응하는 것은 사실상 불가능하다고 입을 모으고 있다. 세계적인 사이버보안 기업마저도 해킹을 당한 사례가 적지 않다.

그렇지만 많은 국가와 기관, 기업들은 사이버 공격으로부터 피해를 최소화하기 위한 다양한 노력을 하고 있다. 조 바이든 미국 대통령은 지난 25일 백악관에서 주요 당국자와 기업 대표들과 ‘국가 사이버안보 회의’를 진행했다. 이 자리에서 미국의 주요 IT기업들은 사이버안전을 위한 민관 협력을 약속하고 대대적인 투자로 보안 강화에 나설 것을 약속했다.

국내에서도 주요 보안 기관, 정부, 기업, 민간단체 등이 해킹 공격에 지속해서 노출되자 이를 방지하기 위한 민관 통합 컨트롤타워인 ‘사이버보안청’ 설치 논의가 진행 중이다.여기에 최소한의 개인의 노력이 더해진다면 해커의 공격을 예방하는 데 더 도움이 된다. 백신 업데이트, 정품 프로그램 사용, 수상한 이메일 열람 금지, 안전한 인터넷 브라우저 사용 등 컴퓨터 이용 환경에서 개인이 노력할 수 있는 부분이 적지 않다. 전 세계적인 사이버 공격 위협, 특히 세계 최고 수준의 북한 해커로부터 정보를 보호하기 위해 주의 깊은 노력이 필요한 상황이다.