잉카인터넷 대응팀은 국내 유명 인터넷 기업을 대상으로 2011년 경에 진행되었던 실제 표적 공격 기법을 확보하였으며, 이른바 지능형 지속 위협(APT: Advanced Persistent Threat)의 대표적인 사례라 할 수 있겠다.
 
이에 잉카인터넷 대응팀은 “다수의 기업 사용자들이 이러한 보안 위협에 속수무책으로 피해를 입지 않도록 유사 방식에 대한 경각심 고취 및 사전 대비를 위한 정보 제공 차원으로 공격 수법을 일부 공개하게 되었다. 중요 기관이나 특정 기업 등을 대상으로 하는 지능형 지속 위협은 1차 표적에 노출된 소수의 내부 직원을 매개체로 만든 후 공격자로 하여금 회사 내부의 주요 기반시설 및 2차 네트워크 통로로 접근할 수 있는 직접적인 연결 고리로 작용하게 만들며, 순차적으로 접속 범위 및 권한 상승을 노린 후에 조직, 사람, 기술, 정보 등을 총망라하는 공급망 공격을 수행하게 된다”고 설명했다.  
 
◇지능형 지속 위협의 주요 목적
1) 경제적, 정치적 및 전략적 이득 등을 취하기 위하여 주요 기관 및 기업의 중요 정보를 탈취 시도한다.
2) 표적 대상의 내부 네트워크 환경 등을 파악하고 점령 유지하며, 언제든지 제어가 가능하도록 구축한다.
3) 지속적으로 자신의 활동을 은폐시켜, 상당기간 동안 내부 정보를 수집하고 모니터링 한다.
4) 2차 공격 대상지로 하여금 공격자의 연쇄 공격이 신뢰될 수 있도록 보이기 위한 매개체로 악용한다.
 
일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
-erteam.nprotect.com/247
 
3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
-erteam.nprotect.com/248
 
◇국내 기업을 대상으로 한 공격 수법 사례
대부분의 APT 공격 방법은 일반적으로 웹 사이트 등에 공개되어 있거나 유추가 가능한 webmaster, job, support, help, cs, service, admin 등과 같은 이메일 계정(예:webmaster@website.com)으로 악성파일이 첨부된 이메일을 발송하면서 시작된다.
 
물론 이메일 뿐만 아니라 웹 사이트, 인스턴트 메신저, 응용프로그램 업데이트 모듈 변조 등의 수법들도 존재할 수 있는데, 불특정 다수를 원격제어가 가능한 악성파일에 감염시킨 후 특정 표적을 선별하는 방식을 채택할 수도 있다. 이러한 과정에서 사회공학기법이나 실제 공격 대상과 관련된 내용 등을 교묘하게 조합하여 이용하는 형태가 많으며 특히, 신뢰하는 사람이나 조직에서 보낸 것처럼 위장하기 위해서 허위로 계정을 만들어 내거나 실제 해킹에 성공한 유관 사용자의 계정을 도용하는 경우도 적지 않다.
 
다음 공개하는 화면은 실제 국내 유명 인터넷 기업의 그룹 메일 주소로 발송된 이메일 형식으로, 마치 이력서(Resume)를 보낸 것처럼 조작되어 있다. 이메일을 수신한 경우 십중팔구 첨부파일을 열어볼 가능성이 높고, 속수무책으로 악성파일에 감염될 수 있다.
 
제목 :
Resume
본문 :
I would be of use for this company and this company could form the basis of my growth
I will do my best for your company…To hire me…
첨부파일 :
My_Resume.zip

 
첨부되어 있는 "My_Resume.zip" 파일은 얼핏보기에 다음과 같이 압축 파일 내부에 My_Resume.doc 처럼 보이는 MS Word(DOC) 문서파일이 포함되어 있는 것 같지만, 실제로는 2중 확장명을 가진 실행파일(EXE) 이다.
 
더불어 2중 확장명을 최대한 숨기기 위해서 .doc 뒷 부분에 다수의 빈공백을 포함시킨 것도 특징이라 할 수 있다.

 
파일 확장명은 폴더 옵션의 고급 설정에 따라서 정해지는데, 일반적으로 초기 설정값은 "알려진 파일 형식의 파일 확장명 숨기기"가 활성화되어 있으며, 그렇기 때문에 사용자가 별도로 폴더 옵션을 변경하지 않았다면 악성파일의 확장명은 DOC 문서파일처럼 보여지게 된다.

 
실제로 지능화된 표적공격은 문서파일 자체의 취약점(Exploit Code)을 이용해서 공격하는 경우가 매우 많고, 그에 따라 Anti-APT 솔루션 등이 문서포맷(HWP, DOC, XLS, PPT, PDF, RTF, CHM, HLP 외)에 대한 사전 검증 및 악성 탐지에 집중되고 있는 것도 사실이다. 하지만 위와 같이 국내 기업을 대상으로 공격했던 사례는 반대로 실행파일(EXE)이면서 문서파일(DOC)처럼 보이도록 위장한 형태라는 점에서 Anti-APT 솔루션들이 문서파일만 대응함에 있어서는 완벽한 차단에 한계가 있을 수 있다는 것을 반증하기도 한다.
 
추가로 유니코드(Unicode) 확장명의 변조를 통해서 실행파일 형태를 문서파일처럼 보이도록 조작한 후 국내 특정 기업을 공격했던 사례도 시사하는 바가 크다. 
 
※Unicode를 이용한 윈도우 확장자 변조 가능 취약점을 이용한 악성코드 주의
-viruslab.tistory.com/1986
 
다시 본론으로 돌아와 사용자가 첨부된 ZIP 압축파일을 해제 후 문서파일(DOC)로 오인하고 실행하거나, 아니면 2중 확장명의 실행파일을 육안으로 확인했다고 하더라도 무의식적으로 첨부파일을 실행하게 되면 아래와 같이 악성파일로 인한 감염피해를 입게 된다. 이것은 MS Office Word 프로그램의 보안 취약점을 이용한 수법은 아니므로, 최신 보안 업데이트를 설치했다고 하더라도 사용자 스스로 악성파일을 실행하는 과정이다. 따라서 보안 패치만으로는 방어 자체가 불가능하다.
 
파일명에 빈공백이 다수 포함되어 있는 "My_Resume.doc                                     ..exe" 파일이 실행되면 가장 먼저 동일한 위치에 정상적인 문서파일인 "My_Resume.doc" 파일을 생성시키고 실행한다. 그리고 처음 실행되었던 2중 확장명의 EXE 파일은 삭제하기 때문에 사용자는 최종적으로 동일 경로에서 실제 DOC 문서만 보게 된다.
 
생성된 정상 문서파일은 실제 국내 특정인의 입사지원서이며, 이메일의 발신자 이름(김연미)과는 다르게 남성의 모습이 보여진다. 공격자는 이미 특정 국내 여성의 이메일을 해킹하여 명의를 도용하고 권한을 획득한 상태로 추정된다. 이는 수신자로 하여금 이메일의 신뢰도를 높이기 위해서 한국인의 메일계정과 이력서를 모두 탈취하여 악용한 것이며, 일부 특이한 점은 해당 입사지원서의 학력사항에 정보보호관리학과 출신이라는 점이다. (개인정보 보호차원에서 일부 내용은 모자이크 처리를 하였다.)

 
해당 문서파일이 보여진 이후에 2개의 악성파일이 사용자 몰래 설치되는데, 모두 임시폴더(Temp)에 생성된다.

 
C:WindowsTemptran.exe
C:WindowsTempALZ_Console.exe

ALZ_Console.exe 파일은 특정 호스트로 접속을 시도하지만, 현재는 모두 차단되어 정상적으로 연결되지 않고 있다.

 
tran.exe 파일은 Command Line Interface 기능을 가지고 있으며, 정보 수집 목적 등으로 사용되는 모듈이다.

 
공격자는 은밀하게 첩보 활동을 하기 위해서 프로그램 코드를 매우 간결하게 작성하였고, 이를 통해서 대부분의 Anti-Virus 제품들이 탐지하지 못하도록 작성하였다. 일반적인 악성파일이 사용하는 재부팅시 자동 시작 기능 등도 포함해 두지 않았는데, 이런 형태는 순차 공격에 있어서 침투조 목적으로 배포되는 스파이 모듈이며, 만약 수집된 정보 중에 공격자가 원하는 조건과 부합될 경우 또 다른 공격 명령을 수행하게 될 수 있다.
 
재부팅시 자동 실행 기능이 없을 경우 악성파일의 생존기간은 매우 짧아지는 단점이 있지만, 공격자는 침투모듈을 배포한 순간부터 정해진 기간동안만 특수 모니터링을 수행할 것이기 때문에 오히려 자신의 노출을 최소화, 은폐화시킬 수 있는 장점이 있다. 그것을 기반으로 특정 표적만을 선별하고 C&C 등을 통한 잠복기 활동도 복합적으로 수행할 수 있다.
 
특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도이다.
 
그렇기 때문에 공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나, 금전적 이득 또는 사이버 범죄(테러) 등으로 사용되고 있다는 점을 간과해서는 안된다.
 
과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다.
[잉카인터넷 시큐리티대응센터 대응팀]