대북관련 기관 및 단체에 발송된 것으로 추정...APT 공격 주의
한글 취약점을 이용한 APT 공격용 악성 문서가 지속적으로 발견되고 있어 주의가 필요하다. 특히 특정 기관을 타깃으로 한 공격이라 관련 기관은 각별한 주의가 요구된다.<대북관련 기관 및 단체에 발송된 것으로 추정되는 한글 악성문서>
이번 악성 파일을 발견한 하우리(대표 김희천 www.hauri.co.kr) 보안대응센터 김정수 센터장은 “이번에 발견된 북중간 경제협력의 평가 및 전망에 대한 한글 문서는 경색 국면으로 접어든 남북관계의 돌파구로 중국과의 경제협력으로 풀어가려는 북한의 현 상황에서 대북관련 기관 및 단체 관련자에게 발송 된 것으로 추정된다”며 “한글 프로그램의 취약점을 이용해 감염되기 때문에 한글의 최신 보안패치가 되어 있지 않은 수신자들은 문서를 열람할 경우 악성코드에 감염될 위험성이 크다”고 경고했다.
이번 악성파일의 특성은 다음과 같다. 사용자 모르게 아래와 같은 경로에 파일을 생성하고 서비스로 동작한다.
?%system32%SetuppDvi.dll
특정 메일 계정으로부터 명령을 수신 받으며 시스템 정보를 수집하고 암호화 후 악성코드 제작자에게 전송한다.
<악성코드 흐름도>
악성코드 제작자들은 수집된 시스템 정보들을 이용해 목표 기관 및 단체들의 시스템 환경을 확인하고 또 다른 공격을 위한 악성코드를 제작하는데 사용될 것으로 추정된다.
하우리 보안대응센터에서는 한글 악성 취약점을 이용한 APT 공격을 방어하기 위해 다음과 같은 수칙을 제시했다.
1. 이메일에 첨부된 한글 문서는 함부로 열람하지 않고 발신자에게 확인한 후 열람한다.
2. 한글 프로그램의 보안패치를 최신으로 유지한다.
3. 백신 프로그램을 최신 업데이트 한 후 실시간 감시기를 활성화 한다.
4. APT 공격 방어 솔루션을 도입하여 사전에 차단한다.
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지