💡 지능형 APT 공격형 해커는 스피어피싱 이메일, 워터링홀 공격, SNS 피싱 등을 위해 문서 프로그램, 브라우저의 취약점을 주로 이용하며 그 중 난이도 높은 제로데이 취약점 존재 💡 지원 종료된 소프트웨어(IE 등)일지라도 보급도가 높고 다른 소프트웨어와 연계하여 사이버 공격에 활용될 때 효과가 높다면 지속적으로 악용될 수 있으므로 주의 필요
악성코드를 유포시키는 방법에는 사용자가 자주 접속하는 사이트를 통한 워터링홀 기법, 악성코드를 첨부하여 감염시키는 스피어피싱 이메일 및 SNS 피싱 기법, PMS 등 공급망 서버를 악용한 악성코드 유포 기법 등이 존재한다. SNS을 통한 피싱 및 스피어피싱 이메일은 가장 효과적으로 타겟이 되는 사용자에게 악성코드를 감염시키는 방법 중 하나이다. 이를 위해 해커는 대중적으로 많이 사용하는 문서 뷰어를 활용하며 문서 유형으로 Microsoft社 오피스, 한컴오피스 등이 존재한다. 다수의 사용자를 효과적으로 감염시키기 위해 해커는 가장 이슈가 되는 문서를 가장하여 악성코드를 유포하며 그 대표적인 사례로 작년에 발생한 이태원 참사 관련 정부 보고서가 있다. 이태원 참사가 국민적 관심을 끌며 모두가 슬픔에 잠긴 때 공격자는 악성 문서를 유포하였으며, 구글 Threat Analysis Group(TAG)의 분석 보고서[1]에 따르면 해당 공격은 북한 해킹 그룹인 APT37의 공격으로 추정하고 있다. 피싱 공격을 통해 악성 문서는 아래의 절차에 따라 악성코드를 유포하였다.
공격자는 워드에서 HTML 랜더링 시 Internet Explorer의 JScript9 엔진이 사용되는 점을 악용하기 위해 피싱 공격을 통해 워드 파일 열람을 유도하는 방식으로 공격하였다. 공격자는 이와 같은 공격 방식으로 기술지원이 종료된 Internet Explorer을 실행시키지 않고도 Internet Explorer 취약점을 악용하여 공격할 수 있다. 또한, 공격자는 브라우저에 적용되어 있는 Sandbox를 우회할 필요가 없기 때문에 더욱 쉽게 Exploit 코드를 제작할 수 있다. 본 보고서의 제 1, 2장에서는 사고 개요 및 공격 과정을 설명한다. 제 3장부터 취약점 원리, 발생 원인, 공격코드 분석 등 취약점에 대한 기술적인 내용을 설명한다. 취약점 분야에 관심있는 독자들을 위해 취약점에 대한 분석 내용을 상세하게 기술하였다. 본 보고서의 목차는 아래와 같다.
‘22년 10월, 불행히도 용산 이태원에서 참사가 발생하였으며 해당 이슈를 이용한 악성 문서도 유포되었다. 행정안전부는 사고가 발생하자 10월 31일 “서울 이태원 사고 대처상황보고(10.31일 06:00)_수정”이라는 이름으로 보고서를 홈페이지 게시판을 통해 공개하였으며 해당 문서는 한글 문서(.hwp) 형태였다. 그러나 해당 한글 문서는 취약점이 포함된 악성 워드 문서 형태로 재활용되었으며 이 때 파일 또한 10월 31일 발견되었다. 악성 워드 문서를 분석하는 과정 중 해당 문서가 Microsoft社의 패치가 존재하지 않는 제로데이 취약점(CVE-2022-41128)임을 확인하였으며 이에 따라 ‘22년 11월 Microsoft社는 정식 업데이트에 해당 취약점에 대한 패치를 포함시켜 릴리즈하였다.
< 제로데이가 포함된 악성 워드 문서 >
< 행정안전부 공식 홈페이지 내 상황보고 안내 게시글 >
이후에도 해당 제로데이 취약점(CVE-2022-41128)을 이용한 악성 문서는 지속적으로 발견되었으며 이중 하나가 “북방한계선(NLL) 문제에 관한 국제법적 검토와 대응방안.docx”으로 ‘22년 11월 10일에 발견되었다. 일반적으로 정기 보안 업데이트가 매월 2주차 수요일에 이루어지는 점으로 볼 때 해당 문서 또한 패치가 발표된지 얼마 안된 상태에서 유포되었을 것으로 보인다. 문서 속성을 확인해 보면 “제목”은 NuriMedia Contents Team”이며 만든이는 “DBPIA-NURIMEDIA”이었다. 해당 문서 역시 해커가 직접 제작했다기 보다 DBPIA 웹사이트에서 다운로드 받아 제로데이 취약점(CVE-2022-41128)을 포함시켜 유포했을 가능성이 있다.