병·의료원 건강검진 증명서 발급으로 위장한 北 연계 공격 등장
국내에서 병·의료원 증명서 발급처럼 위장한 北 연계 해킹 공격이 등장했다며, 각별한 주의와 대비가 요구됩니다.
이번 공격은 마치 건강 검진 결과 인터넷 조회 및 발급 서비스로 교묘히 위장해 악성 파일을 유포했으며, 실제 국내 병원 및 의료기관 증명서 발급에 필요한 정상 플러그인 프로그램을 함께 결합해 신뢰 기반 속임수를 사용한 것이 특징입니다.
따라서 해당 프로그램이 설치될 경우 정상적인 병원 증명서 발급 진행이 가능하지만, 동시에 예기치 못한 사이버 보안 위협에 노출되게 됩니다.
분석결과, 악성 파일은 지난 2월 25일 만들어졌으며, 실제 공격이 진행된 시기는 3월이며, 윈도(Windows) 64비트 기반으로 개발됐습니다.
해당 파일 내부에는 각각 암호화된 형태로 2개의 리소스가 존재하는데, 하나는 정상적인 병원 증명서 발급 프로그램이고, 나머지 다른 하나는 은밀히 백도어(Backdoor) 기능을 수행하는 악성 파일입니다. 이러한 구조로 악성과 정상 두 개의 모듈이 동시에 설치되지만, 컴퓨터 화면에는 정상 설치 화면만 보이게 됩니다.
발견된 악성 파일의 유사도 및 연관성 조사를 통해 지난 2월 국내 공중파 방송국 기자 및 북한 전문 언론사 등에 ‘사내 금융업무 상세내역.zip’ 파일로 수행된 APT(지능형지속위협) 공격과 일본의 외교안보 싱크탱크인 일본국제문제연구소의 동북아시아 군사적 긴장 고조와 일본의 대응전략 연차 보고서처럼 사칭한 공격 사건의 연장선으로 공식 확인되었습니다.
당시 국내 방송사 대상 공격에서 발견된 위협 지표 중에는 북한 표기식 단어인 ‘현시’와 공격자가 사용한 ‘Freehunter’ 계정, 그리고 명령 제어(C2) 서버인 ‘ms-work[.]com-info[.]store’ 등의 고유한 흔적이 발견됬습니다. 특히, 해당 위협과 연결된 침해사고에서 ‘KGH’ 이니셜이 발견된 바 있습니다.
이번 공격에 사용된 C2 서버는 ‘ms-work[.]com-pass[.]online’ 도메인으로 앞서 언급한 특정 방송사 대상 공격 주소와 유사하고, 주요 함수 구조 역시 일치한 것으로 분석됐습니다. 아울러 2021년 7월경 발견된 변종은 웨일(Whale) 브라우저의 확장 프로그램처럼 위장했고, ‘KGH_Backdoor.dll’ 익스포트 함수명과 ‘support-hosting[.]000webhostapp[.]com’ 주소가 사용되었습니다.
ESRC는 ‘KGH’ 키워드가 계정 또는 폴더 이름에 사용된 여러 자료를 조사하고 있으며, 영문 이니셜 등 모든 가능성을 염두에 두고 면밀한 위협 배후 조사를 진행하고 있습니다. 유사 위협 중 2012년경 북한 아이피(IP) 주소에서 해외 특정 서비스에 접근한 이력이 보고된 바 있습니다.
러시아 소행으로 알려진 데이터 파괴용 악성 파일이 우크라이나에서 다수 보고되고 있는 가운데, 국내도 北 연계 사이버 위협이 꾸준히 발견되고 있습니다. 특히 다가오는 대한민국 대통령 선거와 관련해 사회공학적 해킹 공격이 등장할 수 있다며 각별한 주의와 대비가 필요합니다.
현재 이스트시큐리티는 이와 관련된 악성 파일을 알약(ALYac) 백신 프로그램에 업데이트를 완료하였고, 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.
IoC
ms-work[.]com-info[.]store
ms-work[.]com-pass[.]online
support-hosting[.]000webhostapp[.]com