KTV 유튜브 채널 방송 섭외 위장 北 소행 해킹 공격 주의

유튜브 KTV 프로그램 출연 문의로 위장한 악성 HWP 문서화면. 이스트시큐리티 제공

북한 해킹 조직이 배후인 HWP 악성 문서 기반 공격이 성행하고 있어 각별한 주의가 요구된다.

이스트시큐리티는 문화체육관광부 산하 한국정책방송원(KTV) 유튜브 방송온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서 위장 공격이 진행중이라고 23일 밝혔다.

이번 공격은 실제로 존재하는 유튜브 방송을 사칭, 대북 분야 전문가를 대상으로 이뤄지고 있다. 악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 24일 '윤석열 정부 남북정책. 북한 코로나 지원, 남북대화 방향은?'이라는 주제의 방송에 출연할 수 있는지 문의하는 내용을 담고 있다.

공격자는 HWP 한글 문서 내부에 악성 개체 연결 삽입(OLE) 명령을 추가했다. 문서가 실행될 때 가짜 메시지 창을 보여줘 별다른 의심 없이 실행하도록 유도하는 공격전략을 구사했다.

이스트시큐리티 시큐리티대응센터(ESRC) 분석에 의하면, 해당 HWP 내부에는 악성 OLE 파일이 삽입돼 있고, OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 'work3.b4a[.]app'로 통신을 시도하는 것을 확인했다. 이 C2 서버 주소는 북한 연계 해킹 사건에서 연이어 발견되고 있어 신속한 차단이 필요한 곳이다.

이번 공격 조직이 사용한 위협 데이터를 종합 분석한 결과, 과거 '금성121' 배후가 사용한 공통점이 여럿 발견됐다. 주로 러시아 Yandex 이메일 사용과 더불어 해킹을 통해 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용했다.

금성121 북 연계 해킹 조직이 HWP 기반 악성 문서를 APT공격에 적극적으로 활용하고 있고, 주로 북한인권분야 종사자나 탈북 지원 활동가, 대북언론매체 기자 등을 상대로 꾸준히 공격을 시도하고 있다는 게 재확인된 것이다.

이스트시큐리티는 “최근 HWP OLE 기반의 지능형지속위협(APT) 공격이 눈에 띄게 증가하는 추세”라며 “보안 취약점(Exploit)을 이용한 수법이 아니기 때문에 최신 버전의 한컴오피스 이용자도 유사 위협에 노출될 수 있다”고 지적했다.

이스트시큐리티는 “북한 소행으로 지목된 다수의 해킹 공격은 MS오피스 기반의 DOC 악성 파일이 많은 수를 점유하고 있는 것은 사실이지만 HWP 기반 OLE 방식의 공격도 연이어 발견되고 있다”며 “한컴오피스 이용자는 별도의 메시지 창 클릭 안내 화면을 보게 될 경우 이전보다 더 세심한 주의와 함께 문서보안 수준 설정을 '높음' 상태로 유지해야 한다”고 당부했다.

문종현 ESRC 센터장(이사)은 “새 정부출범 이후에도 북한 소행으로 판단되는 사이버 안보위협은 멈출 기미가 보이지 않으며, 해킹 대상자를 현혹하기 위한 보다 세련된 방식의 접근 수법도 진화를 거듭하고 있다”며 “민간분야를 대상으로 한 북 연계 사이버 위협이 날이 갈수록 고조되고 있어 민관합동 공조 강화가 무엇보다 중요하다”라고 강조했다.

최호기자 snoop@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]