한수원·외교계 공격한 해커, 해외 기관도 노렸다

한국수력원자력, 외교계 종사자 등 국내 특정 집단을 대상으로 사이버 공격을 시도해온 조직이 미국 등 해외에서도 사이버 공격 활동을 수행했던 것으로 나타났다.

국내에서는 HWP 문서 파일, 해외에서는 DOC 문서 파일의 취약점을 악용했다.

공격한 해커를 조사한 결과 프리랜서 개발자 사이트에서 악성 프로그램 외주 개발에도 참여하고, 암호화폐 거래 관련 정황도 포착됐다.

지난 11일에는 국내 대북 관련 분야 종사자 대상 공격을 수행한 것으로 밝혀졌다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이같은 내용을 담은 보고서를 지난 17일 공개했다.

■국내 외교·안보 기관 공격자, 같은 수법으로 해외도 공격

ESRC는 과거 이뤄졌던 국내 외교, 대북 등 분야 종사자를 대상으로 한 지능형 지속 공격(APT)은 최근 미국 등지에서 발생한 침해 사고와 연계된다고 분석했다.

국내 이용자를 대상으로 공격 활동을 수행해온 APT 조직 '김수키'와 이들이 외교, 안보, 대북 분야 종사자를 대상으로 공격했던 '스텔스 파워 침묵 작전', 북한 해킹 조직이 국내 가상화폐 거래소를 대상으로 공격한 것으로 추정되는 '자이언트 베이비 작전' 등과 해외 DOC 문서 파일의 취약점을 악용한 공격 사례 간 직·간접적 연관성을 밝힌 것이다.

동일 취약점 관련 공격 기법이 활용됐고, 같은 계열의 악성 파일을 내려받게 된다는 이유에서다.

ESRC에서는 이들 배후에 특정 정부의 후원을 받는 조직이 있을 것으로 판단했다. 이들이 한국어, 영어 등을 자유자재로 구사하며 외국인 가짜 프로필 사진으로 변장하는 등 은밀히 활동하는 점을 착안해 '캠페인 스모크 스크린'으로 명명했다.

■'스모크 스크린'...국적 가리지 않고 문서 파일 취약점 공격 수행

ESRC는 지난 2014년 한수원 해킹 배후로 분류된 해당 위협 조직이 한국과 미국 등 APT 공격에도 가담했다고 주장했다. 한국에서는 HWP 문서 파일 취약점을 이용하고, 해외에서는 DOC 문서파일 취약점을 활용해 맞춤형 표적공격을 수행했다는 것이다.

공격자는 지난 11일 '한미정상회담 관련 정부 관계자 발언'이라는 제목의 HWP 문서 파일을 첨부메일로 전송했다. 해당 파일은 악성 문서 파일로, 암호화된 상태로 유포됐다. 암호를 입력하지 않을 경우 캡슐화한 포스트스크립트(EPS) 취약점이 작동하지 않는다.

메일 본문에 적힌 암호를 입력해 취약점이 작동하게 되면 국내 특정 명령제어(C2) 서버와 통신을 시도하고 'first.hta' 파일을 불러온다. 이와 함께 HTML 응용 프로그램 호스트 내부에 포함된 VB스크립트 코드가 실행된다. 이를 통해 감염된 컴퓨터 정보를 수집, 유출하게 된다.

ESRC는 그 동안 공격에 사용된 서버들이 모두 한국의 특정 서버 아이피로 연결돼 있었다고 설명했다.

문종현 ESRC 센터장은 "이번 HWP 문서 관련 악성 파일의 경우 최신 버전 패치를 받으면 차단 가능한 취약점"이라고 말했다.

ESRC는 지난 1일 'TaskForceReport'라는 이름의 DOC 문서 파일로 시도된 공격에서 HWP 문서 관련 사이버 공격과의 연관성을 발견했다. 악성 문서 파일이 실행되면 액티브 콘텐츠가 실행되지 않도록 보안 경고 메시지가 나타난다. 이에 대해 공격자는 낮은 버전의 MS 오피스를 사용해 내용이 보이지 않는 것처럼 위장, '콘텐츠 사용' 버튼을 클릭하도록 유도했다.

해당 악성 문서 내부에는 'activeX1.bin' 부터 'activeX10.bin' 파일이 포함돼 있다. 그 중 'activeX2.bin' 파일에 통신 호스트 주소가 있다. HTA 명령과 조건에 의해 추가적인 C2로 통신을 시도하게 된다.

ESRC는 "DOC 공격 벡터에 사용된 HTA 스크립트를 살펴보면 보면 지난 3월31일과 4월1일 한국에서 발생했던 HWP 악성 문서 기반의 '스텔스 파워' 위협 사례와 이번 '스모크 스크린' 스크립트 형식이 유사하다는 것을 알 수 있다"고 설명했다.

■비트코인 거래 시도·악성 프로그램 개발 등 활동 포착돼

해당 악성 파일 제작자는 비트코인 등을 거래하거나 사행성 도박 게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것으로 확인됐다.

해당 악성 파일 제작자는 'windowsmb', 'JamFedura', 'Aji', 'DefaultAcount', 'yeri', 'Roberts Brad' 등 독특한 윈도우즈 계정 등을 사용했다. ESRC는 "지난 2월 경 공격자가 사용한 'JamFedura' 계정에 주목할 필요가 있다"며 "이 계정은 트위터, 텔레그램, 크립토랜서 등 서로 다른 프로필 사진으로 유사한 계정이 등록된 것을 확인할 수 있다"고 서술했다.

ESRC 조사에 따르면 트위터 계정 '@JFedura'에는 위치가 미국으로 설정돼 있고, '암호화폐 개발자' 등이 언급돼 있었다.

크립토랜서는 암호화폐 분야 개발자를 프리랜서 형태로 연결해주는 플랫폼이다. 여기서는 'jamfedura' 계정에서 자신을 '암호화폐 개발자'로 소개하고 있었고, 위치는 중국으로 설정돼 있었다고 밝혔다.

국내 프로그램 개발사와 프리랜서 개발자를 이어주는 온라인 아웃소싱 플랫폼 '위시켓'에서는 트위터 계정 @JFedura와 같은 아이디와 프로필 사진을 쓰는 계정이 존재했다. 자기소개 란에 개발 경험 8년을 보유하고 있고, 암호화폐 개발에 적극 참여하고 있다는 내용과 게임 사이트 개발, 가상화폐 채굴 프로그램 개발, 가상화폐 거래 사이트 등의 포트폴리오가 등록돼 있었다.

비트코인 포럼에 지난 2017년 8월 가입, 지난해 1월까지 활동한 정황도 포착됐다. 비트코인 지갑 주소가 공개돼 있었으나, 특별한 거래 내역은 확인되지 않았다.

필리핀 비트코인 거래 사이트인 비트 마닐라에서는 지난 1월 텔레그램 계정으로 가입, 활동한 것으로 나타났다. 특히 지난해 12월23일 게재된 1천500 비트코인 판매 관련 글에 댓글을 달기도 했다.