2024-03-29 14:50 (금)
하태경 의원실 사칭 스피어피싱 사이버공격과 2015년 방위산업체 공격의 유사성
상태바
하태경 의원실 사칭 스피어피싱 사이버공격과 2015년 방위산업체 공격의 유사성
  • 길민권 기자
  • 승인 2018.02.06 04:00
이 기사를 공유합니다

지난 2월 1일 바른정당 하태경 의원은 자신의 의원실을 사칭한 가상화폐 관련 이메일이 유포되고 있다며 경찰에 수사를 의뢰한 바 있다. 바로 스피어피싱 공격이다. 하 의원은 북한 해커소행으로 추정된다. 북한 해킹 전문가에게 분석을 의뢰한 결과 북한 해커들이 주로 사용하는 악성코드와 일치한다고 밝혔다.

이번 스피어 피싱 공격 타깃은 가상화폐 거래소를 활용하는 이용자였다. 분석 결과, 발신자는 마치 국회에서 작성한 대외비 내부문서로 가장했으며, '국회 가상화폐 법안자료.rar' 파일을 첨부한 해킹 메일을 특정 가상화폐 거래소 회원 대상으로 유포한 것이다.

▲ 국회 의원실 사칭의 악성 이메일 화면
▲ 국회 의원실 사칭의 악성 이메일 화면. 이스트시큐리티 자료(이하)

이스트시큐리티 분석에 따르면, 이메일에는 암호화된 압축 파일이 첨부되어 있고 본문에는 마치 국회 의원실에서 발송한 공식 내용처럼 위장하고 있다. 압축 파일에 사용된 암호는 '비트코인1!'이다.

특히 이메일 본문에는 국회 내부문서라 일반 컴퓨터에선 폰트가 정상적으로 보여지지 않을 수 있다고 현혹하면서 이용자로 하여금 악성 매크로(Macro) 기능을 실행하도록 컨텐츠 허용을 유도하고 있다. 압축 파일 내부에는 두개의 MS 워드 문서가 암호화된 상태로 첨부되어 있다.

▲ 압축 파일 내부에 포함되어 있는 악성 문서 화면
▲ 압축 파일 내부에 포함되어 있는 악성 문서 화면

더불어 메일 하단에는 대외비 문서라 유출에 유의하라는 표현과 함께 압축 파일의 암호가 포함되어 있으며, 문장 중에 '유의'라는 표현 대신에 '류의'라는 단어가 사용되었다. '류의'라는 표기법은 단순 오타일 수도 있지만, 북한에서의 표현으로 해석할 수도 있다.

첨부되어 있는 2개의 MS워드 파일은 실행 시 다음과 같이 실제 일부 글자(폰트)가 깨져서 나타난다. 공격자는 의도적으로 일부 문자가 비정상적으로 보이도록 만들어 문서를 열어본 사용자가 악성 매크로를 실행하도록 유도하는 것이다.

▲ MS 워드 문서를 실행했을 때 보여지는 화면들
▲ MS 워드 문서를 실행했을 때 보여지는 화면들

두개의 워드 문서는 원본을 작성할 때와 수정할 때 'PiterpanN' 이름의 동일한 컴퓨터 계정명이 사용한 흔적이 존재한다.

▲ 워드 문서의 만든이와 마지막 수정한 사람의 계정명
▲ 워드 문서의 만든이와 마지막 수정한 사람의 계정명

내부에 포함되어 있는 매크로 코드는 한국의 특정 웹 사이트로 제어명령을 받도록 제작되어 있다. 해당 웹 사이트는 외부의 불법 침해사고를 입어 공격자의 악의적인 명령제어 서버로 악용된 것이다.

◇명령 제어 서버 주소
hxxp://kjinnong.com/jdboard/boardbank/board/bbs/log.php

▲ 워드 파일에 포함되어 있는 악성 매크로 코드 화면
▲ 워드 파일에 포함되어 있는 악성 매크로 코드 화면

해당 매크로 코드가 정상적으로 작동되면 한국의 명령제어서버로 통신을 시도하고, 추가적인 악성 프로그램에 노출된다.

한편 악성 문서를 제작한 'PiterpanN' 계정은 과거 한국을 상대로 진행됐던 다수의 침해사고에서 자주 발견되던 계정과 동일하다.

특히 2015년 한국의 방위산업체를 상대로 진행된 스피어피싱 공격에서도 포착된 바 있고, 2016년 한국의 국방연구기관, 2017 한국 외교관련 정부기관에서도 발견된 바 있다.

▲ 2015년 방위산업체를 대상으로 진행됐던 스피어 피싱 공격 화면
▲ 2015년 방위산업체를 대상으로 진행됐던 스피어 피싱 공격 화면

지난 2015년 한국 방위산업체 대상 공격에 사용된 엑셀 문서 파일의 속성에서도 동일하게 'PiterpanN'이라는 계정이 사용된 것을 확인할 수 있으며, 국내에서 발생했던 다수의 사건에서도 반복적으로 나타난다.

▲ PiterpanN 계정을 사용한 악성 엑셀문서 파일 속성 화면
▲ PiterpanN 계정을 사용한 악성 엑셀문서 파일 속성 화면

이번 하태경 국회의원실을 사칭해 유포된 최종 악성 파일은 미국의 특정 서버(199.180.116.228)로 통신을 시도해 공격자의 추가 명령을 대기하게 된다.

▲ 미국의 특정 서버로 통신을 시도하는 코드 화면
▲ 미국의 특정 서버로 통신을 시도하는 코드 화면

또한 2018년 국회의원실을 사칭해 설치된 악성코드와 2016년 국방분야 관련 공격에 사용된 악성코드의 암복호화 알고리즘을 비교해 보면 다음과 같은 형식을 사용하고 있다는 것을 알 수 있다.

▲ 2016년 국방 관련 악성 코드(좌)와 2018년 국회의원실 사칭 관련 악성코드(우) 알고리즘 비교화면
▲ 2016년 국방 관련 악성 코드(좌)와 2018년 국회의원실 사칭 관련 악성코드(우) 알고리즘 비교화면

이스트시큐리티 측은 “과거 한국의 기업과 기관 등을 상대로 했던 스피어피싱 공격이 2018년 상반기 가상화폐 거래 분야를 대상으로도 은밀한 공격을 수행하고 있다는 점을 알 수 있다”며 “공격자는 신뢰기반 맞춤형 공격을 수행하기 위해 사회공학기법을 지능적으로 활용함과 동시에 악성 매크로 기능을 빈번하게 사용하고 있다는 것을 확인할 수 있다. 따라서 이메일 이용자들은 이런 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 첨부파일이 있는 이메일의 경우는 항상 주의를 기울여야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★