한국 인터넷 사용자를 겨냥한 악성 HWP 문서 취약점 기반 공격 기법이 한층 더 교묘해졌다.

HWP문서 기반 공격코드 '록랫(ROKRAT)'이 지난해말 새 버전으로 등장했다. 록랫은 한글과컴퓨터 한글 워드프로그램과 그 파일포맷 HWP의 기존 취약점(CVE-2013-0808)을 악용한 신종 공격코드(익스플로잇, exploit)다. 시스코시스템즈 위협정보분석조직 탈로스(Talos)가 지난해 처음으로 발견했다. [☞관련기사]

시스코시스템즈 탈로스는 록랫을 만들어 사용한 공격조직이 지난 2016년 하반기부터 2017년까지 수행한 일련의 사이버위협 활동을 추적, 분석해 왔다. 분석 결과 이 공격조직이 6차례에 걸쳐 세계 각지에 HWP 및 마이크로소프트(MS) 오피스 포맷의 악성문서를 동원한 공격활동(캠페인)을 벌였고, 특히 한국어로 작성된 HWP 포맷 악성문서로 국내 사용자를 겨냥한 공격도 수차례 진행했다고 밝혔다.

탈로스는 한국과 세계 각지에 악성문서 공격을 벌인 조직을 '그룹123(Group 123)'이라 명명하고, 지난 16일 공식블로그 포스팅을 통해 그룹123의 과거 활동 이력을 분석한 결과를 제시했다. 더불어 그룹123이 올초 새로운 공격활동을 시작했으며, 여기서 지난해(2017년) 사용한 록랫 익스플로잇의 새 버전을 발견했다고 덧붙였다. [☞탈로스 블로그 원문보기] [☞시스코코리아 번역문 보기]

탈로스는 2016년 하반기부터 최근까지 그룹123의 공격활동을 추적했다. 그룹123 소행으로 식별된 캠페인은 '골든타임(2016년 8월~2017년 3월)', '사악한새해(2016년 11월~2017년 1월)', '행복하십니까(2017년 3월)', '프리밀크(2017년 5월)', '북한인권(2017년 11월)', '2018년 사악한새해(2018년 1월~)' 이렇게 6가지다. 이 가운데 골든타임, 사악한새해, 북한인권, 2018년 사악한새해, 4가지 공격에 악성HWP문서가 쓰였다.

탈로스는 요약문을 통해 "우리는 분석을 통해 다음 6가지 캠페인이 그룹123에 진행됐음을 확신하고 있다"며 "분석 결과에 따르면 골든타임, 사악한새해, 북한인권 캠페인 모두 대한민국 사용자를 특정 대상으로 삼고 있다"고 설명했다. 또 "이 그룹이 활용한 스피어피싱 및 악성문서의 경우, 번역 서비스를 사용하지 않고 한국 현지인이 작성한 것으로 보이는 대단히 구체적인 내용이 포함돼 있었다"고 지적했다.

탈로스가 분석한 그룹123의 악성HWP 문서 기반 공격사례 4가지를 간단히 소개하면 아래와 같다.

■ 골든타임 캠페인

2016년 8월부터 2017년 3월까지 진행된 골든타임 캠페인은 조직내 특정 업무 담당자를 감염시키고자 집중적으로 악성코드를 유포하는 '스피어피싱' 공격으로 분류됐다. 확인된 악성코드는 이를 실행한 수신자의 PC를 감염시키고, 록랫을 내려받는 동작을 수행하게 만들어졌다.

록랫은 이후 운영체제(OS) 버전을 확인하고 소셜네트워크 및 클라우드플랫폼을 통해 공격자와 통신하며 추가 명령을 받는 역할을 했다.

탈로스는 골든타임 캠페인에 서로 다른 종류의 악성HWP 문서를 첨부한 2가지 이메일이 유포됐다고 설명했다. 하나는 연세대학교 '한반도국제포럼' 학술대회 담당자를 사칭해 "표적으로 삼은 담당자를 실존하지 않는 '통일·북한 학술대회' 패널로 합류하도록 유도"했다. 다른 이메일은 자신을 분단 전 한국의 강원도 지역인 '문천' 출신 인물로 소개하며 도움을 호소하는 내용이었다. 모두 유창한 한국어를 구사했다.

탈로스는 두 이메일에 첨부된 악성코드에 대해 "동일한 취약점(CVE-2013-0808)을 활용하며, 이 취약점은 캡슐화한 포스트스크립트(EPS) 형식을 대상으로 한다"고 지적했다. 이어 "록랫을 식별할 수 있는 특징 중 하나는 록랫이 소셜 네트워크 및 클라우드 플랫폼을 사용해 공격자와 통신한다는 점"이라며 "이 변종에서 사용되는 플랫폼은 트위터, 얀덱스, 미디어파이어"라고 밝혔다.

■ 사악한새해 캠페인

2016년 11월부터 2017년 1월까지 진행된 사악한새해 캠페인은 '2017년 北 신년사 분석'이라는 제목을 사용하고 통일부에서 작성된 것처럼 가장한 악성HWP 문서를 첨부한 이메일을 유포하는 활동이었다. 앞서 탈로스가 록랫 익스플로잇을 발견했다고 밝힌 첫 사례다. 탈로스는 "공격 조직은 대한민국 통일부에서 대한민국에 국한된 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려 했다"고 설명했다.

탈로스가 파악한 이 가짜 문서의 목적은 사용자가 페이지 아래 임베디드된 링크를 통해 추가 악성문서를 열도록 유도하는 것이었다. 링크는 사용자가 북한의 새해 활동에 관한 세부내용을 알고자 할 때 누르도록 유도하는 성격을 띠었다. 링크를 열면 악성 오브젝트링킹임베디드(OLE) 개체 파일이 실행되고 이로써 감염PC에 추가 악성코드(페이로드)를 가져올 수 있는 명령제어서버와 통신하게 된다.

사악한새해 캠페인의 추가 악성코드 유포처 중 하나는 공공조직인 '한국정부법무공단(KGLS)' 홈페이지였다. 탈로스는 사악한새해 캠페인에서 "공격자는 KGLS의 보안을 침해해 공격을 실행할 신뢰할 수 있는 플랫폼을 확보했다"면서 "이전 캠페인과 다르게 공격자는 기본 록랫 페이로드에서 정찰 단계(reconnaissance phase)를 분리했는데 이 트릭은 탐지를 피하기 위해 사용됐을 가능성이 높다"고 진단했다.

■ 북한인권 캠페인

2017년 11월 진행된 북한인권 캠페인은 또다른 악성HWP 문서 사용 활동이었다. 그룹123은 한국 서울에서 11월 1일 열린 회의와 관련된 정보를 담은 문서를 사용했다. 탈로스는 "일반적인 그룹123 활동과 마찬가지로 이 문서도 완벽한 한국어 텍스트와 방언으로 작성됐으며, 이 점은 해당 조직이 한반도를 기반으로 하고 있음을 시사한다"고 덧붙였다. 작성자는 북한 인권 관련 시민 연대 소속 변호사를 자처했다.

악성HWP 문서는 먼젓번 활동인 사악한새해 캠페인에 쓰인 것처럼 문서에 삽입되는 OLE 개체를 활용해 추가 악성코드를 실행하는 구조로 작성됐다. 이 추가 악성코드는 록랫 실행 유도 수단(드로퍼)이다. 이 드로퍼는 실행되는 동안 한컴오피스의 업데이트 프로그램으로 보이려는 듯한 이름(HncModuleUpdate.exe)의 바이너리파일로 저장됐다. 드로퍼는 악성코드에 쓰일 셸코드를 품은 SBS란 리소스 추출에 쓰였다.

드로퍼 실행 이후 단계에선 기존 록랫처럼 cmd.exe 프로세스가 VirtualAlloc(), writeProcessMemory(), CreateRemoteThread() 등 윈도API를 쓰는 프로세스 주입에 동원됐다. 이후 PE 바이너리 디코딩과 cmd.exe 프로세스 주입 과정으로 변종 록랫이 실행된다. 변종에는 특정 라이브러리가 로드됐는지 확인하는 안티샌드박스 기술, 아무 작업도 하지 않는 명령어(No operation)와 관련된 안티디버깅 기술이 적용됐다.

■ 2018년 사악한새해 캠페인

그룹123은 2018년 1월 2일부터 새해에 맞춘 '2018년 사악한새해' 캠페인을 시작했다. 그룹123은 1년전 사악한새해 캠페인 때처럼 북한 정치지도자 신년사를 분석한 내용을 담은 악성HWP 문서를 동원했고, 작성 주체를 정부부처인 통일부로 사칭했다. 문서는 더 과거 시점부터에 진행된 골든타임 캠페인처럼, EPS 취약점을 사용해 록랫 디코딩을 수행하는 셸코드를 내려받아 실행한다.

탈로스는 "(EPS 취약점을 악용하기 위해) 가짜 이미지를 사용하는 것은 이 그룹의 일반적인 패턴"이라며 "이런 이미지에는 최종 페이로드인 록랫을 디코딩하는 데 사용된 셸코드가 포함돼 있다"고 설명했다. 이어 "이 록랫 변종은 메모리에서 로드되는, 파일리스(fileless) 버전의 록랫"이라고 덧붙였다.

파일리스 악성코드는 일반 백신같은 파일 기반 악성코드 보안툴의 탐지를 회피할 수 있다. 탈로스는 "이런 행동은 그룹123이 탐지를 피하기 위해 지속적으로 (공격기법을) 발전시키고 있음을 보여 준다"고 평했다. 이어 "록랫은 여느때처럼 클라우드제공업체(이번에는 얀덱스, p클라우드, 드롭박스, 박스 활용)를 사용해 오퍼레이터(명령제어서버)와 통신한다"고 덧붙였다.

■ 결론 "그룹123, 주 공격 대상은 한반도"

탈로스에 따르면 그룹123은 워크플로에 한컴오피스 한글 워드프로그램 또는 MS오피스용 공격코드를 포함하고, 페이로드를 여러 단계로 분할해 해당 캠페인을 수정할 수 있다. 침해된 웹서버나 정상 클라우드 기반 플랫폼을 쓰고 HTTPS 통신을 사용해 트래픽 분석을 어렵게 만들 수 있다. 제3자의 보안 환경을 뚫고 스피어피싱 캠페인의 거짓 정보나 가짜 신분을 위조할 수 있고, 최근 파일리스 악성코드도 사용했다.

탈로스는 "그룹123는 한국 대상으로 할 때는 특정 HWP 문서를 사용했다면, 전세계 대상으로는 MS오피스문서를 사용하는 등 일반적인 공격수단으로 전환할 수 있다"며 "이 그룹은 첩보 수집 활동에 참여했고 최종적으로 파괴공격을 시도했다"고 결론내렸다. 또 "이 공격조직은 앞으로도 계속 활발히 활동할 것으로 예상된다"며 "(공격) 대상은 바뀔 수 있지만 지금은 한반도가 주요 대상이라고 판단된다"고 덧붙였다.

■ 경찰이 '북한 소행' 판단한 활동과 유사

1년전쯤 그룹123의 일부 공격활동과 유사한 사건이 2017년 1월 경찰청 사이버안전국 수사결과로 발표된 적이 있다. 발표에 따르면 당시 기준 약 5년 전부터, 북한 소재 '류경동 조직'이 신분을 사칭해, 한국어로 북한과 관련된 주제의 내용을 담은 HWP 등 문서 첨부형 악성메일을 유포해 왔다. 공격 대상은 국내 북한관련 업무를 맡고 있는 공공 및 민간부문 담당자였다. [☞관련기사]

당시 경찰은 2016년 1월 청와대 등 국가기관을 사칭한 악성 이메일 발송사건 발생 이후 1년간 북한의 해킹조직 활동상황을 추적 수사한 결과 "북한이 2012년 5월부터 정부, 연구, 교육기관 등 종사자에게 악성메일을 보낸 사실을 확인했다"고 밝혔다. 그중 한 사례는 탈로스가 파악한 사악한새해 캠페인처럼, 북한 신년사 분석이란 제목의 악성HWP 파일을 동원했다.경찰청 사이버안전국에서 수사후 북한 소행이라 결론내린 류경동 조직의 공격활동에서 유사성이 발견된다는 것만으로, 탈로스의 사악한새해 캠페인 실행주체 또한 북한 소행이라 단정하기는 어렵다. 탈로스는 이번에 사악한새해를 포함한 6가지 공격활동의 주체로 지목한 그룹123에 대해 "상당한 수준의 성숙도를 갖췄으며 한국 지역 관련 지식 또한 보유하고 있다"고만 평가했다.

하지만 탈로스도 지난해 4월 사악한새해 캠페인의 분석 결과를 최초 공개할 땐, 그룹123이 "한국에서 정보를 얻으려 하는 국외 정부 지원 해커 조직"이라고 추정했다. 또 이 공격이 "한국 공공 부문 주체를 대상으로 수행하기 위해 재정적 지원이 원활한 조직에 의해 설계됐을 가능성이 높다"며 "공격에 동원된 기술 가운데 상당수는 앞서 특정 정부 기관에 의해 벌어진 공격 사례에 들어맞는다"고 진단한 바 있다.