북한 조선중앙통신 사이트 방문자 겨냥한 악성코드 발견

2015-01-20 08:38

북한매체사이트에서 전파되는 악성코드 감염 경로도 [자료 = 트렌드마이크로 ]


아주경제 장윤정 기자 = 북한 뉴스 매체사이트를 통해 감염되는 악성코드가 발견됐다. 

발견된 악성코드는 주로 한국의 사용자를 공격하는 것으로 나타났으며 감염 증가 추세는 지난해 11월까지 지속된 것으로 나타났다. 

웹 사이트에 악성코드를 숨겨놓고 방문자를 감염시키는 이른바 워터링홀(Watering Hole) 공격 기법이 사용된 것이다. 

글로벌 보안업체 트렌드마이크로는 20일 블로그를 통해 북한 뉴스 매체 사이트를 통해 다운로드되는 11종의 악성코드에 대해 분석한 결과를 밝혔다.

이에 따르면 특정 페이지를 방문한 방문자에 대해 FlashPlayer.zip이라는 정상 파일을 가장한 악성 파일이 유포되고 있었으며, 이 악성 파일은 다시 여러 개의 악성코드를 다운로드해 궁극적으로 방문자의 데이터를 수집해 온 것으로 알려졌다.

웹사이트에 악성코드를 숨겨 놓고 방문자를 감염시키는 이른바 워터링홀(Watering Hole) 기법이 이용되어, 호기심 혹은 정보 수집을 목적으로 북한 뉴스 사이트를 방문한 사용자들이 공격에 노출됐을 것으로 보인다.

또 분석 결과, 이 악성코드는 마이크로소프트의 개발자 서명을 갖고 있는 것으로 확인됐다. 따라서 저작권 표시(All Rights Reserved)에 Microsoft Corporation)이라고 표시된다. 설명과 코멘트에는 'Windows Defender Extension'이라는 문구가 들어있는데 이는 사용자가 이 파일에 대해 의심하지 못하게 하기 위해서다.

트렌드마이크로측에 따르면 "이들은 주로 한국의 사용자를 공격하는 것으로 나타났다"며 "감염 증가 추세는 2014년 11월까지 지속됐다. 모체 파일 감염자인 PE_WINDEX.A-O의 감염률은 2014년 10월부터 2014년 12월까지 지속적으로 증가했다"고 밝혔다.