보안 이슈 분석

[이슈]시간차를 이용한 스토킹 형태의 대만 APT 공격

1. 개요


잉카인터넷 대응팀은 대만의 행정원위생서(行政院衛生署)의 특정인을 표적으로 삼아 끈질기게 APT 반복공격을 시도하는 일부 정황을 포착하였다. 행정원위생서는 우리나라의 보건복지부와 역할이 비슷한 국가 행정조직으로 보건위생에 관한 업무를 담당하는 기관이다. 표적형 이메일 공격이 지속성을 유지하는 것이 일반적이지만 이번과 같이 특정인을 대상으로 짧은 기간에 매우 반복적이면서 시간차를 두고 다양한 형태로 공격 시도를 하는 형태가 확인된 것은 처음이다. 추정하기로 공격자는 자신이 원한 표적이 악성파일 감염에 쉽게 노출이 되지 않자 연쇄적으로 무한반복 공격을 감행하고 있는 것으로 보여진다. 



흔치 않지만 표적 대상자가 이러한 보안 위협의 이상한 낌새를 사전에 눈치채고 이메일 첨부파일을 이용한 공격에 쉽게 노출되지 않거나 보안 필터링에 의한 이메일 사전 차단이 이뤄질 경우 공격자는 반복적으로 공격 시도를 하게 될 것이다. 이런 행위는 상대방의 의사와 상관없이 의도적으로 자신의 목적을 충족시키기 위해서 계속 따라다니면서 타인에게 정신적 피해 등을 주는 이른바 스토킹(Stalking)과 매우 유사한 형태를 띄고 있다고 할 수 있다.

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
http://erteam.nprotect.com/247

3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
http://erteam.nprotect.com/248

※ CVE-2012-0158(MS12-027) 취약점은 최근 국내 유명 인터넷 기업을 표적으로 한 APT 공격용으로도 사용되었던 일부 정황이 확인된 상태이기도 하다.

2. 실제 공격 사례

지금 공개하는 사례는 잉카인터넷 대응팀의 악성파일 관리 및 추적 시스템에 의해서 확보된 내용을 기반으로 하며, 해외에서 수집된 데이터를 근거로 한다. 또한, 공개되지 않은 이메일 본문이 추가로 존재할 수 있다. 아울러 이 공격은 스팸 필터링을 통해서 공격이 성공하지 못하자 지속적으로 시도한 사례로 보여진다.

ⓐ 2012년 04월 13일 금요일 오후 05시 20분경 발송된 이메일

대만 전 민진당 총재의 군사기밀 유출의혹 등의 정치적 내용으로 유혹하여 첨부파일을 열어보도록 유도한 형태이다.


"蘇貞昌涉軍黑資料.doc" 첨부파일은 CVE-2010-3333(MS10-087) 보안 취약점을 이용한 DOC 악성파일을 첨부하고 있다. 2010년도의 MS Office 취약점을 이용하고 있어서 최신 보안 업데이트를 설치했다면 악성파일 감염을 사전에 충분히 예방할 수 있는 형태이다.

잉카인터넷 대응팀은 국내외 지능형지속위협(APT)공격에 대한 사례를 다수 확보하고 조사하면서 침투수법 및 수준에 나름의 차이가 있다는 것을 발견하였으며, 이것을 기반으로 공격자 기반의 레벨을 구분하여 자체적으로 APT 공격 수준(Level)을 정의 한 바 있는데, 이번 사례는 Level 02(중급) 단계에 해당된다.

■ 지능형 지속 위협(APT) 공격의 레벨 정의

이 모든 내용은 이메일 악성파일 첨부와 본문 내용에 포함된 URL 링크 방식을 복합적으로 사용할 수 있기 때문에 악성파일 첨부 방식만으로 제한하여 규정하지는 않으며, 다국적 언어가 모두 사용될 수 있고 공격자의 중앙 관리 서버를 통해서 추가 명령 및 제어(C&C)를 통해서 언제든지 가변적인 변칙 공격도 가능할 수 있다.

- Level 01 (초급) :
사회공학기법과 간단한 Spam, Phishing 기법 등을 복합적으로 활용하며, 대표적인 실행파일 확장명(EXE/SCR/COM) 구조의  악성파일을 사용하는 방식.

- Level 02 (중급) : 
이미 보안 취약점 패치파일이 공개되어 있는 다양한 문서(HWP, PDF, DOC, XLS, PPT 등)포맷의 취약점을 악용하는 경우와 위장된 내용으로 알려진 취약점이 존재하는 악의적 링크로 접속을 유도시키는 수법, 실행파일 구조의 악성파일이 육안상 문서파일처럼 보이도록 교묘하게 속임수로 위장하는 방식.

- Level 03 (고급) :
알려져 있지 않은 보안 취약점(Zero-Day Attack)을 이용하며, 사전에 각종 보안솔루션을 우회할 수 있도록 치밀하게 설계된 방식으로 이메일 전파 수법 뿐만 아니라 이동형 저장매체(USB 드라이브), 웹 사이트(XSS) 등 다중 벡터를 활용하는 방식.

각 레벨은 공격자가 사용하는 기술적 해석 방식이고, 대상자로 하여금 공격자 이메일의 신뢰도를 향상시키기 위해서 발신자 및 본문 내용의 일치성을 유지하는 경우 좀더 퀄리티 높은 공격이 수행되는 기반이 될 수 있게 된다. 쉽게 말해서 발신자의 이메일 도메인과 본문 내용이 매칭된다거나, 수신자와 관련되어 있는 도메인으로 발송되는 경우 공격 성공확률은 비례적으로 높아지게 마련이기 때문에 지능적인 공격자는 최종 표적 주변의 기업 또는 인물 탐색 및 유관 사이트의 공격을 우선 수행하는 경우가 많게 되고, 이는 연쇄적인 악성파일 감염 피해의 단초 역할을 하게 된다.

ⓑ 2012년 04월 18일 수요일 오전 11시 21분경 발송된 이메일

두번 째로 발견된 이메일은 다음과 같이 또 다른 내용과 첨부파일을 가지고 있으며, 앞으로 공개되는 이메일 수신자도 모두 동일한 계정이다. 특징적인 것은 공격자가 2010년도 취약점에서 2012년도 최신 취약점으로 변경한 부분이다.


두번 째 발견된 공격용 이메일은 자녀 교육 보조비 내용으로 위장되어 있고, "子女教育補助費101新版.doc" 첨부파일은 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다. CVE-2012-0158(MS12-027) 취약점은 최근들어 표적(APT) 공격에 급격하게 사용되고 있는 취약점이기도 하다.

ⓒ 2012년 04월 23일 월요일 오전 10시 46분경 발송된 이메일

세번 째로 발견된 이메일은 중화우정 주식유한공사(中華郵政 股份有限公司)에서 발송한 것처럼 위장하고 있으며, WebATM 내용과 이메일 온라인 전자 명세서 파일로 위장한 악성파일을 첨부하고 있다.


"Email線上電子對帳單.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 동일하게 사용하고 있지만, 두번 째 발견되었던 "子女教育補助費101新版.doc" 파일에 비해서 상대적으로 유명 Anti-Virus 제품들이 탐지하지 않는 상태로 제작되었다.

ⓓ 2012년 04월 23일 월요일 오전 11시 08분경 발송된 이메일

네번 째로 발견된 이메일은 4월 23일에 2차적으로 보내진 메일로 십여 분 간격으로 연속 발송된 형태이다. 공격자는 몇 차례 공격이 실패를 하자 급박하게 연쇄 공격을 시작한 것으로 추정된다.
 


이메일 제목에는 프로젝트 진행 보고서로 위장되어 있고, "表1b_306.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다. 공격자는 CVE-2012-0158(MS12-027) 취약점용 DOC 악성파일을 생성하는 도구를 가지고 있는 것으로 보이며, 해당 도구를 통해서 지속적으로 변종을 제작하고 있는 것으로 추정된다.

ⓔ 2012년 04월 23일 월요일 오전 11시 47분경 발송된 이메일

다섯 번째로 발견된 이메일은 CAAPS 학회 내용으로 위장되어 있으며, DOC 파일과 PDF 파일 2개가 첨부되어 있다. "Final CAAAPS_CAll_for_paper_news_release.pdf" 파일은 정상적인 PDF 문서이고, "instruction of abstract format.doc" 첨부파일은 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.


ⓕ 2012년 04월 23일 월요일 오후 12시 40분경 발송된 이메일

약 1시간 후에 발송된 것으로 추정되는 여섯 번째 이메일은 동창회와 관련된 내용으로 위장하고 있으며, 또 다른 대만의 정부 기관(trts.dorts.gov.tw) 메일에서 발송된 것으로 설정되어 있다. "活動安排及部份同學通訊錄.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.


ⓖ 2012년 04월 23일 월요일 오후 12시 45분경 발송된 이메일

약 5분 후에 발송된 추가 이메일은 자선 콘서트와 관련된 내용으로 위장하고 있으며, "崇她存摺.doc" 첨부파일도 CVE-2012-0158(MS12-027) 취약점을 이용하고 있다.


ⓗ 2012년 04월 25일 수요일 오전 09시 24분경 발송된 이메일

04월 25일 오전에 추가로 발송된 이메일은 전송 실패 내용처럼 위장되어 있다.


3. 마무리

최근 지능형 지속 위협(APT) 공격 형태가 눈에 띄게 급증하고 있다. 특히, CVE-2010-3333(MS10-087)과 CVE-2012-0158(MS12-027) 취약점을 이용한 악성 문서파일이 다수 발견되고 있어 각별한 주의가 필요하다. 이 취약점들은 모두 최신 마이크로 소프트 오피스(군) 업데이트를 통해서 완벽한 해결이 가능한 종류이다.

따라서 기업이나 기관에서는 반드시 최신 보안 업데이트를 설치하여 알려진 취약점에 노출되지 않도록 하는 사전 예방 노력이 중요하고, 이용자 스스로 첨부파일이 있는 이메일을 수신할 경우에는 발신자에게 해당 메일과 관련된 실제 발송 여부 등을 파악해 본다거나 가상 운영체제 등 안전한 곳에서 실행해 보는 것도 좋은 방법 중에 하나이다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

댓글

댓글쓰기

보안 이슈 분석 관련된 글

관련글 더보기