“통일연구·무역기관이 위험하다” … 표적공격(APT) 발생

아주경제 장윤정 기자=국내 통일연구 및 무역관련 기관을 집중 노린 지능화된 표적공격(APT)이 다수 발견됐다.

12일 잉카인터넷 대응팀은 이달 1일부터 10일까지 국내 통일연구 및 무역관련 기관을 집중적으로 노린 표적공격 정황을 다수 포착했다고 밝혔다. 통일연구와 무역기관이 표적공격에 감염될 경우 주요 국가 정보가 노출, 국가 안보를 위협할 사태가 발생할 수 있어 주의가 시급하다.

잉카인터넷에 의하면 이달 1일 오후, 국내 무역관련 협회에서 근무하는 다수에게 유사한 형태로 악성파일이 첨부된 이메일이 전파됐다. 이메일 제목과 첨부파일은 동일하게 만들어져 있으며, 보낸 사람은 모두 같은 한메일 계정이 이용됐다. 또 ‘보좌관’이라고 표기돼 중요 업무처럼 위장한 것이 특징이다.

8일에는 ‘2013-통일부 성과관리시행계획 자료집’이라는 제목으로 HWP 악성파일이 포함된 이메일이 특정 포털사이트 웹 메일에서 다른 포털사의 웹 메일로 발송됐다. 지난 10일에는 통일관련 연구기관 내부 직원에게 악성파일이 첨부된 이메일도 전파됐다. 본문 및 악성 첨부파일은 내부 직원들이 관심을 가질만한 ‘통일’이나 ‘안보’와 관련된 내용으로 사용자들을 현혹하고 있다.

각 이메일에 첨부되어 있는 HWP 문서 파일은 악성파일로 보안취약점이 존재하는 상태에서 실행할 경우 해당 컴퓨터는 악성파일에 감염되어 추가적인 보안위협에 노출되게 된다.

특히 ‘개최계획과 남북통일위원회 명단.zip’ 압축파일 내부에는 ‘남북통일위원회 명단.cell’, ‘상임위원 워크숍 개최계획.exe’ 악성파일이 포함되어 있다. 파일 확장자가 CELL 인 ‘남북통일위원회 명단.cell’ 파일은 한컴 한셀 취약점을 이용한 파일이다.

이처럼 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 것이 특징이다. HWP 파일뿐만 아니라 CELL 파일 취약점도 이용됐다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원됐다.

문종현 잉카인터넷 대응팀 팀장은 “이 침투공격이 성공할 경우 지속적인 잠복 및 정찰이 수행되며, 내부조직의 중요한 정보수집과 후속공격의 교두보로 악용될 가능성이 높다”며 “표적공격은 이메일에 첨부한 악성파일을 이용하는 경우가 많으므로, 운영체제 및 응용프로그램들을 항시 최신버전으로 업데이트하고 유지해 기존에 알려져 있는 보안취약점에 노출되지 않도록 유념해야 한다”고 경고했다.