잉카인터넷(대표 주영흠)은 HWP 보안 취약점을 이용해 국내 대북단체를 1년 이상 지속적으로 공격한 정황을 확인했다고 16일 밝혔다.
잉카인터넷은 데일리NK 뉴스가 13일 ‘북 해커 좀비PC 악성코드 대북단체에 대량 유포’라는 제하의 기사에서 소개한 악성파일을 분석한 결과, 지난해 6월 잉카인터넷 대응팀이 공개한 ‘탈북인 인적 사항으로 유혹하는 HWP 악성파일 등장’에 쓰인 악성파일과 동일한 제작자나 조직이 만든 정황근거가 확인됐다고 설명했다.
이 악성파일은 세종연구소 수석연구원이 작성한 것으로 위장한 HWP 악성파일은 대북단체 사람들에게 이메일로 전파됐으며, 이를 실행시키면 실제 북한과 관련된 정상적인 문서파일을 보여주면서 동시에 이용자 컴퓨터의 보안 취약점을 이용해 새로운 악성파일을 설치한다.
악성파일에 감염되면 홍콩의 특정 호스트로 접속돼 공격자의 추가명령을 수행하는 ‘좀비PC’로 활용될 수 있으며, 정보유출 등의 피해를 입을 가능성이 있다. 현재는 한국인터넷진흥원(KISA) 등 유관기관과 대응해 명령제어(C&C)서버 접속이 차단됐다.
악성파일 내부에 포함된 코드는 보안제품 탐지 우회와 코드 분석을 방해하기 위해 암호화된 형태로 숨겨져 있으며, HWP 파일의 보안 취약점 작동 시 윈도우의 임시폴더(Temp) 경로에 "$EM0001.jpg" 이름으로 암호화된 악성파일이 생성되고, Shellcode 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 "svohost.exe" 파일명의 악성파일이 생성되고 실행된다.
겉으로 보기에는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 코드 내부적으로는 암호화된 악성파일이 포함되어 있다. 이러한 심층암호 방식은 일종의 스테가노그래피 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해 사용하는 은폐기술 중에 하나이다.
악성파일이 접속을 시도하는 명령제어 서버는 홍콩 소재 호스트로, 지난해 탈북인 인적 사항으로 위장했던 HWP 악성파일의 C&C 주소와 100% 일치했다. 정상적인 "rundll32.exe" 프로그램을 통해서 악성파일인 "GooglePlay.dll" 파일이 동작하는 구조를 가지고 있다. 또한 mscmos.sys 파일을 이용하는 점도 지난해 HWP 악성파일 수법과 동일하다. 더불어 아이콘(MFC)과 프로그래밍 언어(중국어) 역시 지난해 악성파일과 일치한다.
문종현 잉카인터넷 대응팀장은 “HWP 문서파일의 취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 한컴오피스 이용자들은 항시 최신 버전으로 제품을 업데이트 하여 사용해야 한다”고 말했다.
