한글 문서인줄 알았는데...파일 확장자 숨긴 공격 발견

공격에 이용된 정상 HWP 문서파일 실행화면(자료:이스트시큐리티)
<공격에 이용된 정상 HWP 문서파일 실행화면(자료:이스트시큐리티)>

한글(hwp) 문서로 위장한 악성코드 변종이 또 발견됐다. 이달 초 통일부 기자단을 노려 스피어피싱 공격을 감행했던 조직 소행으로 추정된다. 파일 확장자를 끝까지 확인하지 않으면 실행파일인지 알 수 없도록 위장했다.

이스트시큐리티(대표 정상원) 시큐리티대응센터(이하 ESRC)는 지난 20일 저녁 모니터링을 통해 '중국-연구자료'라고 파일명을 위장한 악성코드 변종을 발견했다. 이 악성파일을 포함한 지능형 지속 위협(APT) 공격을 '작전명 페이크 캡슐(Operation Fake Capsule)'로 명명했다. 공격자가 침투 후에는 이 회사 백신 솔루션 '알약' 보안모듈처럼 위장한다.

새로운 악성코드 변종은 지난 7일 새벽 통일부 전·현직 출입기자 77명이 받았던 스피어피싱 공격과 유사하다. 파일 아이콘만 한글문서로 위장한 실행파일이 미끼로 쓰였다. 지난번에는 exe 파일이, 이번에는 src 파일이 쓰였다. 화면보호기 파일이지만 실행파일이란 점은 같다.

공격자는 파일명도 위장했다. 파일명에 빈 칸이나 점을 여럿 입력해 실제 확장자를 숨겼다. 대부분 사람들이 윈도 폴더옵션에서 파일 확장자 보기를 설정하지 않은 채 PC를 사용한다. 확장자 보기를 설정해도 파일명이 길 경우 다 나오지 않는다. 공격자는 이 점을 악용해 사용자 방심을 노렸다.

ESRC는 동일 조직 소행이라는 증거로 공격자 명령제어(C2)서버와 통신에 쓰이는 시그널 코드가 동일하다는 점을 꼽았다. 회의가 많은 월요일 아침을 노려 침투를 시도하고, 이후 수집된 정보를 바탕으로 원하는 PC에 선별적으로 키로거 설치나 원격제어를 실행하는 전략도 마찬가지다. 파일 제작일자를 후일인 21일로 조작해 교란시키는 등 사이버작전으로서 면모는 한층 강화됐다.

문종현 ESRC 센터장은 “2014년 한국수력원자력 해킹 때부터 이어진 일련의 공격이 갈수록 지능화되는 추세”라며 “최근에는 직접 기관이나 기업을 겨냥하기보다는 보안 조치나 경각심이 덜한 주변 관계자를 노려 측면공격을 펼치는 양상”이라고 말했다.

이어 그는 “이번 공격은 20일에 이미 감행됐을 수도 있을 것으로 추정한다”면서 “보안 업데이트가 잘 돼있어도 이러한 공격을 받으면 무용지물이다. 윈도 폴더옵션에서 파일 확장자 보기를 설정하고, 수상한 파일은 확장자를 마지막 부분까지 확인할 것을 권장한다”고 덧붙였다.

팽동현기자 paing@etnews.com

위방향 화살표