특정 공직자 '콕 찍어' APT 공격

지능형지속가능위협(APT) 공격이 날이 갈수록 정교해지고 있다. 이제는 국내 정부기관의 특정 공직자를 지목할 정도로 치밀한 타깃화 공격이 이뤄지고 있는 것으로 알려졌다. 특히 이번에 발견된 사례가 그 동안 나왔던 APT공격과는 다른 새로운 형태를 띄고 있다는 점도 주목할 만하다.

16일 관련업계에 따르면, 지난 15일 오후경 국내 특정 정부기관의 내부 공직자를 과감히 지목한 APT공격 징후가 포착됐다. 이 공격은 특정 주요 국가기관 이용자를 표적 대상으로 삼았다는 점이 기존 APT공격과는 구별된다.

또한 기존 APT공격은 문서파일 취약점에 초점이 맞춰져 있는데 반해 다른 방식으로 공격을 시도했다는 점도 특이점이다.

■정부기관 노린 APT공격, 어떻게 이뤄졌나?

APT공격에 사용된 악성파일은 이메일을 통해 은밀히 공격이 시도됐다. 발신자는 ‘jim tom’이란 아이디로 구글의 웹메일 서비스인 지메일 계정을 이용했다. 그러나 받는 사람 목록에는 알 수 없는 수신자라는 표시만 나타나 있고 공격자가 비밀참조 기능을 이용해 수신자 이메일 주소를 숨기도록 설정했다.

이메일에는 ‘Overseas_Koreans_Note.rar’이라는 압축파일도 함께 첨부되어 있다. 압축을 해제하면 이 때 3개 파일이 생성되는데 폴더 옵션의 조건이 설정돼 있어 관련 파일 중 ‘Overseas_Koreans_Note.rtf.Ink’라는 파일만 육안으로 확인할 수 있다.

여기서 ‘Overseas_Koreans_Note.rtf’파일과 ‘5.rtf’ 파일에는 파일 속성 자체가 아예 숨김으로 설정돼 있다. 또한 ‘Overseas_Koreans_Note.rtf.Ink’파일은 링크파일이기 때문에 확장자 자체가 실제 사용자에게는 보여지지 않는다.

문제는 이 바로가기 파일이다. 공격자가 특정 명령을 실행하도록 했기 때문에 exe악성파일과 정상 rtf문서파일을 실행해준다. 정상 파일도 함께 보여져 사용자가 감염 사실을 인지하기가 어렵게 된다.

■새로운 APT공격, “보안 기술로만 못막아”

보안 전문가들은 공격자가 특정 보안 취약점을 이용한 것이 아니라 윈도 기능을 역이용한 것으로 분석했다. 공격자가 윈도 명령어 기능을 잘 알고 특정 명령방식을 이용하고 있다.

실제로 악성파일이 실행되는 것은 ‘Overseas_Koreans_Note.rtf.Ink’ 파일에 포함된 실행 명령어 때문인데 공격자가 exe파일의 파일명 변경을 통해 바로가기 명령을 변경해 제작했다. 이 때문에 굳이 exe파일 싱행 확장자를 사용하지 않아도 사용자 몰래 실행이 가능해 공격이 이뤄질 수 있게 되는 것이다.

관련 악성파일은 현재 중국어로 제작돼 있는 것으로 알려졌다. 또한 악성파일 실행과 동시에 정상 파일도 함께 실행돼 정상내용을 보여주기 때문에 사용자들은 문제점을 알아차리기가 어렵다.

이 후 실행된 악성파일은 반복적으로 홍콩 특정 호스트로 접속을 시도해 추가 명령을 기다린다. 공격자에 추가 명령에 따라 얼마든지 정보 유출이나 지속적인 감시 등이 이뤄질 수 있어 피해가 파생될 수 있다.

보안 전문가들은 공격자가 특정 정부기관 내부 공직자 이메일 주소를 알고 있었다는 점 때문에 사전 정보수집 활동이 이뤄졌을 가능성도 전망하고 있다. 공격자가 연쇄적으로 정보수집을 통해 계속해서 공격을 수행할 수도 있기 때문이다. 이렇게 되면 지속적으로 정부기관을 타깃으로 한 공격이 발생할 가능성에 대해서도 배제할 수 없는 상황이다.