“북 해커, 그림파일에 악성코드 숨겨 공격”

워싱턴-지정은 jij@rfa.org
2021-04-20
Share
“북 해커, 그림파일에 악성코드 숨겨 공격” 지난 2017년 랜섬웨어에 감염된 것으로 확인된 영화관 CGV의 한 서울 상영관에 광고 상영 불가를 안내하는 내용의 종이가 붙어있다.
/AP

앵커: 미국의 제재 대상인 북한 해킹그룹 라자루스가 최근 교묘해진 해킹 공격을 감행한 것으로 드러났습니다. 문서에 첨부된 그림 파일에 악성코드를 숨기는 방식을 사용한 것으로 보안업체들은 분석했습니다. 지정은 기자가 보도합니다.

미국의 사이버 보안업체 멀웨어바이트(Malwarebytes)는 19일 북한 해킹그룹 라자루스가 문서 내 그림 파일에 악성코드를 숨겨 보안체제를 회피하고 있다고 밝혔습니다.

업체는 해당 공격에서 라자루스의 이전 수법과 유사한 악성코드를 발견했다며 해당 공격이 라자루스의 소행인 것으로 분석했습니다.

라자루스는 지난달 31일 ‘참가신청서 양식’이라는 제목의 악성 워드문서(Doc)를 만들어 ‘거제시 아주동 수제어묵 품평회 참가신청서’로 위장했으며 이를 한국에 거주하는 피해자들에게 유포했습니다.

피해자가 해당 문서를 실행하게 되면 문서에 삽입된 PNG라는 이름의 확장자를 가진 압축된 그림 파일이 BMP 그림 파일로 변환되는데, 이 변환 과정에서 내부에 숨겨둔 악성코드를 호출하는 방식을 이용한 것입니다.

이 업체는 압축된 그림 파일에 악성코드가 숨겨져 있어 기존의 탐지체계로는 해당 코드를 발견하기 어렵다고 설명했습니다.

미국의 북한전문매체 ‘NK뉴스’는 전문가들을 인용해 해당 공격 방식은 이전에 라자루스 공격 사례에서 찾아볼 수 없던 수법이라고 설명했습니다.

다만 미국 민간연구기관인 민주주의수호재단(FDD)의 매튜 하 연구원은20일 자유아시아방송(RFA)에 “라자루스가 공격에서 사용한 악성코드 등이 새롭게 바뀐 것은 아니”라고 말했습니다.

이런 가운데, 한국의 사이버 보안업체인 이스트시큐리티도 20일 한국의 외교·안보·국방·통일 분야 전문가나 관계자를 겨냥한 북한 해킹그룹의 공격이 지속되고 있다며 라자루스의 해당 공격 사례를 소개했습니다.

이 업체는 해당 문서를 열람하기 전 초기에 보이는 가짜 화면에 ‘프로그람’이라는 표현이 발견됐다고 밝혔습니다. 

east_security.jpg
라자루스가 유포한 악성 문서에 북한식 영어 표기인 ‘프로그람’이라는 표현이 사용됐다. /이스트시큐리티


즉 한국식 표현인 프로그램(program) 대신 북한식 영어 표기인 ‘프로그람’이라는 표현이 사용된 것입니다. 다만 이후 변종된 보고서에서는 이 문구가 변경됐습니다.

이와 관련해 매튜 하 연구원은 고의로 북한 해커들이 자신들의 소행임을 알리기 위해 해당 표현을 사용했을 가능성이 있지만, 북한이 지속해서 사이버 공격 범행 사실을 부인해왔다며 단순 실수일 가능성에 무게를 둔다고 밝혔습니다.

하 연구원: (‘프로그람’이라는 표현을 사용한 것은) 방글라데시 중앙은행 해킹 사건을 보면 실수일 가능성을 배제할 수 없습니다. 북한 해커들이기 때문에 습관적으로 (이런 표현을 썼을 수) 있습니다. (평소 쓰던) 표기 방식이 그대로 나온 것입니다. (With a prior example from the Bangladesh attack, we can’t rule it out…. It could have just been a force of habit, these are North Korean hackers. It could be a way of writing things that just came out.)

북한 해커들은 지난 2016년 방글라데시 중앙은행 사건 당시 수신계좌로 제시된 기관명에 오타를 기재해 해킹 사실이 드러난 바 있습니다.

한편, 미국 주간지 뉴요커는 지난 19일 한국의 사이버전 추적 전문 비영리 연구기관인 이슈메이커스랩(IssueMakersLab)의 사이먼 최 설립자의 말을 인용해 간혹 북한 해킹조직이 자신들의 흔적을 고의로 남기기도 한다고 전했습니다.

이 매체는 이날 북한 해킹조직의 과거 공격 사례와 수법 등을 자세히 소개하는 글에서 북한 해커들이 악성 스크립트, 즉 악성 명령체계에 특정 인물들의 이름 머리글자 등을 새겨넣는 경우가 있다고 설명했습니다.

특히 간혹 국제수학올림피아드에 참가한 북한 해커들 이름의 머리글자가 발견되는 경우가 있다며 이는 북한 해커의 소행임을 식별하기 위해 꼬리표(tagging)를 붙이는 방법이거나 자신들의 공격을 자랑하는 방식일 수 있다고 덧붙였습니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.

원본 사이트 보기