북한 위성 발사대 건설 이용한 APT 악성코드 발견

2014-06-10 13:28
북한 동해위성 발사대건설 이용한 악성코드 나타나 주의 요망

아주경제 장윤정 기자= 북한이 최근 기록영화를 통해 신형 함정용 공격 미사일로 보이는 발사체 영상을 공개하는 등 대북 관련 위험이 고조된 가운데 북한 동해위성발사대 건설을 이용한 악성코드가 발견됐다. 

보안전문기업 하우리(대표 김희천)는 10일 APT 공격용 악성문서가 지속적으로 발견되고 있는 가운데 북한의 동해위성 발사대 건설을 이용한 악성코드가 발견됐다고 밝혔다.

해당 악성코드는 북한의 정세와 안보 등의 변화를 예의주시하고 있는 특정조직이나 국가기관에 북한의 동해위성 발사대 건설과 관련한 메일내용으로 발송된 것으로 추정된다.
 

악성코드를 실행하면 사용자에게 보여지는 정상 doc 영문문서



해당 메일의 첨부파일에는 정상문서가 포함된 악성코드가 포함되었고 해킹메일을 수신한 사용자는 아무런 의심 없이 첨부파일을 열람하여 악성코드에 감염이 이루어졌을 것으로 추정된다.

사용자가 악성코드에 감염되었을 경우, 북한이 동해위성 발사대 건설의 시작을 재개했다는 내용의 정상 영문문서(.doc)가 사용자에게 출력된다. 해당 문서에는 북한의 무수단리 동해위성 발사대 시설 확장과 관련된 사진이 포함되어 있다.

또한 해당 악성코드에 감염된 경우, 정상문서가 보여짐과 동시에 백그라운드에서는 악성코드가 생성되고 감염된 PC의 논리 드라이브 정보와 현재 시스템에서 실행되고 있는 프로세스에 대한 정보를 압축, 특정 게시판에 게시물로 등록한다.
 

실제로 감염 시스템에서 유출된 정보가 특정 게시판에 게시된 화면



김정수 하우리 보안대응센터장은 “APT 공격용 악성코드이기 때문에 특정조직이나 국가기관으로 발송되었을 것으로 판단된다"며 "해당 악성코드 감염 시 시스템환경 정보를 유출함으로써 조직 내부에서 사용하고 있는 특정프로그램과 프로그램 설치 경로를 파악할 수 있다"고 경고했다.

또 그는 "이는 제2 해킹공격의 사전정보로 활용될 가능성이 높기 때문에 주의하라"고 강조했다.