​​

최근 문화체육관광부 산하 한국정책방송원(KTV)의 유튜브 방송 출연 섭외로 위장한 HWP 악성 문서가 전파되고 있어 각별한 주의가 요구됩니다. 

이번에 발견된 공격은 KTV의 온라인 정책시사저널 프로그램에 출연 문의를 요청하는 HWP 문서처럼 위장해 이루어졌습니다. 즉, 실제로 존재하는 유튜브 방송을 사칭해 대북 분야 전문가 대상으로 공격이 수행된 것입니다.

악성 문서파일 내부에는 실제 프로그램 진행자 소개와 함께 5월 24일(화) [‘윤석열 정부 남북정책’ 북한 코로나 지원, 남북대화 방향은?]이라는 주제로 방송 출연이 가능한지 문의하는 내용을 담고 있습니다. 

공격자는 HWP 한글 문서 내부에 악성 OLE(개체 연결 삽입) 명령을 추가해, 문서가 실행될 때 평소 많이 봤던 것과 비슷한 가짜 메시지 창 [상위 버전에서 작성한 문서입니다.] 화면을 보여줘 사용자로 하여금 별다른 의심없이 실행하도록 유도하는 공격전략을 구사했습니다. 

이처럼 최근 HWP OLE 기반의 지능형지속위협(APT) 공격이 눈에 띄게 증가하고 있는 추세인데, 보안 취약점(Exploit)을 이용한 수법이 아니기 때문에 최신 버전의 한컴오피스 이용자들도 유사한 위협에 노출될 수 있다는 점을 반드시 기억해야 합니다. 

분석결과, HWP 내부에 악성 OLE 파일이 삽입되어 있으며, OLE 내부에 배치(Bat) 파일과 파워셸(Powershell) 명령어를 통해 특정 서버 ‘work3.b4a[.]app’로 통신을 시도하는 것이 확인되었습니다. 이 C2 서버 주소는 북한 연계 해킹사건에서 연이어 발견되고 있어 신속한 차단이 필요한 곳입니다.

이 공격 조직이 사용했던 위협 데이터를 종합 분석해 보면, 과거 ‘금성121’ 배후가 사용한 공통점이 여럿 목격되는데, 주로 러시아 Yandex 이메일 사용과 더불어 해킹해 탈취한 개인정보 보관용으로 해외 클라우드 서비스를 악용하는 공통점이 발견되었습니다.

최근까지 북한 소행으로 지목된 다수의 해킹 공격은 MS오피스 기반의 DOC 악성 파일이 많은 수를 점유하고 있는 것은 사실이지만, HWP 기반의 공격도 연이어 발견되고 있다는 점이 주목할 점 입니다.

한편, 지난 21일 윤석열 대통령과 미국 조 바이든 대통령은 한미정상회담의 공동선언문을 통해 사이버 적대세력 억지와 핵심기반시설 사이버보안 등을 주요의제로 포함했고, 북한의 사이버 위협 대응 협력을 대폭 확대하기로 발표하는 등 사이버 안보가 핵심 의제 가운데 하나로 급부상 했습니다.

한미 양국 대통령은 ‘사이버 적대세력 억지, 핵심 국가기반시설 보안, 사이버 위협 정보 공유, 국제 사이버 정책에 관한 한미 간 협력 등을 지속적으로 발전시켜 나가기로 했다’고 밝혔습니다. 

최근 ‘금성121’ 북 연계 해킹 조직이 HWP 기반 악성 문서를 APT공격에 적극적으로 활용하고 있고, 주로 북한인권분야 종사자나 탈북 지원 활동가, 대북언론매체 기자 등을 상대로 은밀한 접근을 꾸준히 시도하고 있어 각별한 주의가 요구됩니다.

HWP 자체 보안 취약점이 아닌 OLE 방식의 공격 수법이 지속 보고되고 있어, 한컴오피스 최신 버전 이용자 역시 별도의 메시지 창 클릭 안내 화면을 보게 될 경우 이전보다 더 세심한 주의가 필요한상황이며, HWP 문서보안 수준 설정을 반드시 [높음] 상태로 유지하는 것이 중요합니다.

한편, 이스트시큐리티 ESRC는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.

​