약 1년 전 탈북자 인적사항 관련 HWP 악성파일이 유포된 이후 이번에 같은 조직이 만든 악성 HWP파일이 또 발견되면서 해당 조직의 지속적인 활동이 포착됐다.
 
잉카인터넷 대응팀은 “해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단 조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태”라고 설명했다.

 
또 분석 결과 “세종연구소 수석연구위원이 작성한 것으로 기재되어 있는 한컴오피스 HWP 문서파일이 포함되어 있었다. 다만 정상적인 문서처럼 위장한 악성파일은 보안취약점을 통해서 이용자 컴퓨터에 은밀하게 새로운 악성파일을 설치하도록 만들어져 있다”고 밝혔다.
 
해당 악성파일이 정상적으로 실행되면 실제 북한과 관련된 정상적인 문서파일을 보여주어 이용자가 최대한 의심하지 않도록 위장하고 있고, 이는 대부분의 문서형식 악성파일이 사용하는 은폐기법 중에 하나이다.
 
악성파일에 감염되면 정상적인 문서내용이 보여지는 동시에 악성파일은 홍콩의 특정 호스트로 접속을 시도해 공격자의 다양한 명령을 수행하게 된다. 이른바 좀비 PC로 전락할 수 있고, 예기치 못한 각종 정보유출 등의 피해를 입을 수도 있게 된다.
 
◇HWP 악성파일 분석 정보=다음은 잉카인터넷 대응팀 분석 내용이다. 먼저 이메일에 첨부된 HWP 문서파일을 실행하면 보안취약점 조건이 만족할 경우 동작하고, 조건 불만족시에는 빈 내용의 화면만 보여지게 된다. 따라서 아무런 화면이 보여지지 않았다면 보안 취약점이 정상적으로 동작하지 않은 상태라 볼 수 있다.
 
내부에 포함된 악의적인 코드는 보안제품 탐지 우회 및 코드 분석을 방해하기 위해서 암호화된 형태로 숨겨져 있다. HWP 파일 내부의 Data 영역에 JFIF 헤더처럼 조작해 마치 JPG 이미지 파일로 보이도록 만든 악성파일이 포함되어 있는데, 이미지 헤더는 아이폰 4S 기기로 촬영한 내용을 일부 활용했거나 모방한 것으로 보인다.
 
보안 취약점이 작동하면 임시폴더(Temp) 경로에 $EM0001.jpg 이름으로 암호화된 악성파일이 생성되고, Shellcode 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 "svohost.exe" 파일명으로 생성되어 실행된다.
 
외부적으로는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 내부적으로는 암호화된 악성파일이 포함되어 있는 것이다. 이러한 심층암호 방식은 일종의 스테가노그래피(Steganography) 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해서 사용하는 은폐기술 중에 하나이다.
 
JPG 이미지 파일처럼 위장하고 있던 악성파일은 "svohost.exe" 파일명으로 생성되어 실행된다. 이때 같은 경로에 "mscmos.sys" 파일과 "GooglePlay.dll" 이름의 악성파일을 추가로 생성하고 기존의 임시폴더(Temp)에서 숙주 역할을 한 "svohost.exe" 파일은 "KB1241234.exe" 이름으로 변경한다.
 
"mscmos.sys" 파일도 암호화(XOR 0x99)되어 있으며, 복호화를 하게 되면 명령제어(C&C) 도메인인 www.q887.com [59.188.224.40] 주소를 포함하고 있다.
 
그리고 임시폴더에는 "svohost.doc" 이름의 정상적인 DOC 문서를 생성하고 실행하게 되는데, DOC 문서파일의 원본을 만든 이는 ghost2009라는 내용이 포함되어 있고, 만든 날짜는 2013년 9월 12일로 지정되어 있다.
 
보통 HWP 형식의 악성파일은 내부에 정상적인 HWP 문서파일을 포함하고 있지만, 이번의 경우에는 DOC 확장명의 문서파일을 포함하고 있는 것이 특이하다.

 
◇동일한 악성파일 제작 조직, 1년 넘게 공격수행 중=악성파일이 접속을 시도하는 명령제어 서버는 홍콩 소재의 호스트인데, 매우 흥미롭게도 약 1년 전에 탈북인 인적사항으로 위장했던 HWP 악성파일의 C&C 주소와 100% 일치한다.
 
악성파일은 정상적인 "rundll32.exe" 프로그램을 통해서 악성파일인 "GooglePlay.dll" 파일이 동작하는 구조를 가지고 있고, mscmos.sys 파일을 이용하는 점도 동일하다.
 
더불어 악성파일 형태도 2012년때와 거의 동일하게 제작되어 있는데, 대표적으로 아이콘(MFC)과 언어(중국어)가 일치한다.
 
다음은 지난해 6월에 사용된 악성파일의 속성 정보이다.
 
공격자는 한글 문서 파일의 취약점을 지속적으로 활용해 한국내 특정 기업이나 기관을 상대로 은밀하고 지속적으로 공격을 수행하고 있다는 것을 확인할 수 있다. 이 공격에 사용된 악성파일은 2013년 9월 3일 16시 32분(UTC)에 제작된 것을 알 수 있다.
 
잉카인터넷 대응팀 문종현 팀장은 “현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 항시 최신버전으로 사용할 수 있도록 한다”며 “다양한 악성파일로부터 안전한 PC사용을 유지하기 위해서 기본적인 보안 관리 수칙을 준수해 악성파일 감염을 사전에 예방할 수 있도록 해야 겠다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com