최근 한·일간 독도 영유권 문제를 두고 골이 깊어지는 가운데 독도 관련 한글문서 파일로 위장한 악성코드가 유포되고 있어 주의가 요망된다. 독도 관련 악성코드에 감염될 경우 PC의 모든 입력 값을 유출시키는 키로거 공격을 감행한다.
잉카인터넷(대표 주영흠) 대응팀은 최근 지능형지속위협(APT) 공격과 관련한 모니터링 중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용해 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착했다고 지난 주말 밝혔다.
독도 관련 악성코드는 최근 국내외적으로 이슈가 되고 있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있다. 감염될 경우 키로거 기능 등을 수행하는 것으로 미뤄봤을 때 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다.
해당 악성파일은 독도관련 제목으로 위장된 한글 문서 파일이며 내부에 존재하는 악성파일의 생성 및 실행을 시도한다. 이메일의 첨부파일 형태 등으로 유포가 이뤄질 수 있다. 특정 기업의 특정 사용자를 대상으로 발송돼 점차적으로 기업 내의 주요정보 탈취 형태로 발전할 수 있다.
해당 악성파일은 감염 시 사용자에게 감염 사실을 숨기기 위해 정상적인 문서파일을 생성한다. 이후 악성코드는 PC의 키 입력이 발생하게 될 경우 `SSK.LOG` 파일을 생성해 모든 키 입력 값들을 저장하는 등 키로거 기능을 수행한다. 재부팅시 자신을 삭제해 감염 사실을 숨기기 위한 동작도 수행한다. 잉카인터넷은 정보가 유출되는 것으로 추정되는 IP의 위치 추적 결과 홍콩에 소재하고 있는 것으로 확인됐다고 밝혔다.
잉카인터넷 측은 “이번에 발견된 독도 관련 악성코드는 특정 기업을 대상으로 하는 APT 공격의 전형적인 사례”라며 “현재 다수의 기업에서 특정 장비 등으로 이러한 공격기법을 차단하기 위한 노력을 기울이고 있지만 기업의 규모 등 실질적인 문제로 인해 이와 같은 보안지침은 모두 통용되고 있다고 보기 힘들다”고 말했다.
장윤정기자 linda@etnews.com
키로거 공격(Key Logger Attack)
컴퓨터 사용자의 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼 가는 해킹 공격.