보안

"북한, 한국 워드 프로그램을 악용하는 공격의 배후로 추정"...파이어아이

Jeremy Kirk | IDG News Service 2015.09.11
보안업체 파이어아이는 보고서에서 한국에서 널리 사용되는 워드 프로그램을 악용하는데 중점을 둔 사이버 공격의 배후에 북한이 있는 것 같다고 말했다.

아래한글 워드 프로세서(Hangul Word Processor)은 한국 정부와 관공서에서 주로 사용되는 상용 프로그램이다. CVE-2015-6585 취약점은 9월 7일 한컴의 자체 개발자에 의해 패치됐다.
.
이 소수의 공격들이 제대로 된 사이버 역량을 갖춘 것으로 알려진 북한에 기인한다는 파이어아이의 결론은 흥미롭다.
.
가장 대표적인 사례 가운데 하나는 2014년 11월에 있었던 소니 픽처스에 대한 대단히 파괴적인 공격이다. 이 공격을 통해 소니는 민감한 회사 데이터와 이메일을 탈취당하고 많은 컴퓨터들이 복구가 불가능한 상태에 빠졌다.

드문 일이지만 FBI는 악성코드를 분석한 것을 바탕으로 북한을 소니 해킹의 배후로 지목했다. 북한에 의해 개발된 것으로 추정된 이 악성코드는 다른 공격에서도 사용된 적이 있었다.

파이어아이는 자체적으로 결론은 내리지 않았지만 한국 내 표적들과 연관된 한국의 상용 소프트웨어 프로그램을 표적으로 한 이 활동은 북한을 기반으로 활동하는 공격자와 연계됐을 지 모른다는 결론으로 이어진다.

이 악의적인 HWP 파일들을 열게 되면, 이는 파이어아이가 명명한 '항만(Hangman)'이라는 백도어를 설치한다. 이 백도어는 파일들을 다운로드하고 파일시스템들을 면밀히 살피는 데 사용된다.

항만 백도어는 데이터를 수집해 SSL(Secure Sockets Layer) 연결을 통해 C&C(command-and-control) 서버에 보내는 역할을 맡았다. 그들 서버의 IP 주소는 항만으로 하드코딩되어 있으며, 북한과 관련된 것으로 추정되는 다른 공격과도 연관되어 있다.

또한 이 보고서는 항만은 북한에 의해 개발됐을 지 모르는 '피치핏(Peachpit)'이라 부르는 다른 백도어와 유사하다고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.