[주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가

1. 대북관련 단체 및 기관의 주요인사 표적공격

잉카인터넷 대응팀은 한컴오피스의 HWP 문서취약점을 이용한 표적공격이 꾸준히 유지되고 있다는 것을 사례별로 여러차례 공개한 바 있다. 이러한 방식은 각종 문서취약점과 스피어 피싱이 결합한 국지적 표적공격으로 매우 고전적인 수법이다. 그러나 수신자가 의심하지 않도록 사람의 심리를 교묘하게 이용하기 때문에 효과적인 측면에서 성공 가능성이 높아 지속적인 침투기법으로 활용되고 있다.

이를테면 특정 기업과 기관의 주요인사를 겨냥해 마치 업무관계자 및 지인을 사칭한 후 각종 행사 및 업무 관심사를 반영한 이메일로 조작한 후 첨부된 HWP 악성파일을 열도록 유도하게 되는데, 최근 이러한 유사 공격징후가 지속적으로 발견되고 있는 실정이다.

특히, HWP 문서취약점을 이용한 공격방식은 한국 맞춤형으로 제작되며, 악성파일들은 북한 및 중국 등에서 제작된 것으로 분류되고 있다. 이들은 국내 기업 및 기관의 주요정보를 수집하고, 정찰 및 내부침투 목적으로 지속적인 공격을 감행하고 있다. 만약 내부 침투에 성공할 경우 탐지 전까지 무한 잠복기를 거치며, 추가적인 2차 공격의 교두보 거점으로 활용하게 된다. 이럴 경우 오랜기간 중요한 정보 등에 접근할 수 있어 잠재적인 보안위협으로 작용하게 된다.

[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격
☞ http://erteam.nprotect.com/458

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일
☞ http://erteam.nprotect.com/453

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451

[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272

■「박근혜 대통령 유럽순방 의의와 성과.hwp」문서로 가장

2014년 01월 15일 발견된 HWP 악성파일은 문서 파일명이 "박근혜 대통령 유럽순방 의의와 성과.hwp" 이며, HWP 보안취약점을 통해 추가적인 악성파일이 설치된다. 먼저 공격자는 문서파일을 이메일에 첨부하고 특정 인사에게 은밀하게 발송하게 되며, 수신자가 보안이 취약한 조건에서 해당 문서를 열람할 경우 또 다른 악성파일에 감염되게 된다.

"박근혜 대통령 유럽순방 의의와 성과.hwp" 파일이 보안취약점에 의해서 실행되면 아래와 같은 문서화면을 보여주면서 사용자가 정상적인 문서로 인식하도록 만든다.

2. 북한 관련 HWP 악성파일 공식화

정상적인 문서 내용을 보여주면서 은밀하게 컴퓨터에는 별도의 악성파일을 추가로 생성하고 감염시키게 되는데, 최근 언론을 통해서 발표된 "초청장.hwp" 등의 악성파일 변종이 설치된다.

"초청장.hwp" 악성파일은 2013년 12월 17일 잉카인터넷 대응팀의 "[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격" 포스팅을 통해서 최초 공개된 바 있고, 그 내용은 다시 "정부, 북한 해킹에 대한 보안조치 강화 당부"라는 내용의 공식 보도자료 내용을 통해 언론에 배포된 바 있다.

이번 악성파일도 동일하게 시스템 폴더 경로에 ▶Triger.exe, nsldapv.dll, wshtls.dll 등의 악성파일을 생성하고 실행시킨다. 기존의 HWP 문서파일들이 생성하는 악성파일명도 동일하고 내부 코드 스타일도 일치하는 변종이다. 이 악성파일은 이미 북한에서 제작된 것으로 알려져 있는 상태이다.

생성된 파일들은 각각 2014년 01월 12일~14일 사이에 제작되어졌으며, 가장 최근에 제작된 모듈은 내부적으로 "new_nsldapv.dll" 이라는 이름으로 만들어졌다. 최초 발견 시점은 2014년 01월 15일이다.

악성파일들은 이용자 컴퓨터의 정보 및 키보드 사용내역 등을 수집하여 외부로 유출하는 행위를 시도하며, 추가적인 행위를 통해서 다양한 보안위협에 놓일 수 있다.

HWP 문서 취약점을 통한 이번 공격은 국내 특정 기관들을 상대로 은밀하게 공격되고 있으며, 잉카인터넷 대응팀은 자체 모니터링을 통해서 긴급 대응이 완료된 상태이다. 더불어 관련 정보들은 유관기관에 공유하여 신속하게 협력하고 있다.

이메일 첨부파일로 HWP 문서파일을 수신할 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 않는 것이 안전하고, 한컴 오피스 이용자들은 반드시 최신 업데이트를 설치하여 이미 알려진 보안취약점을 제거할 수 있도록 하여야 한다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com