한글 문서를 이용하는 악성코드 프로파일링
2018 사이버 위협 인텔리전스 보고서 (금융보안원)
CAMPAIGN
DOKKAEBIDocuments of Korean and Evil Binary
01 머리글
한글 워드프로세서 파일(Hangul Word Processor, HWP)을 이용하는 악성코드는 우리나라에서 주로 발견되고 있는 특징을 갖는 위협적인 공격 방법 중의 하나이다.
이 공격 방법이 효과적인 이유는 한글 워드프로세서가 주로 한국에서만 사용되고, 한국 정부기관에서 주요 공공문서를 한글 워드프로세서 파일(이하 한글문서)로 작성하고 있으며, 이러한 이유로 인해 국내의 수많은 민간 기업에서도 한글 워드프로세서를 이용하고 있는 등 우리나라의 특수한 환경 때문이다.
한글을 이용한 문서 편집기는 1982년 당시 고등학생이었던 박현철씨에 의해 개발된 애플 2 플러스에서 동작한 “한글 워드프로세서 버전 1.0”이 최초인 것으로 알려져 있으며, 이후 1985년 삼보에서 제작한 IBM PC용 한글 워드프로세서인 “보석글", 1987년 한글화하여 발매되었던 미국 팔란티어 소프트웨어사의 “팔란티어워드프로세서" 그리고 한글 워드프로세서 1.0 정식버전(1989년 4월) 출시 전까지 가장 많이 사용되었던 하나워드(금성소프트웨어 주식회사 개발, 1988년)까지 한글 워드프로세서의 역사는 오래되었다.
따라서, 한글 워드프로세서를 악용한 악성코드(이하 악성 한글문서) 역시 오래 되었으며, 주로 한글 워드프로세서를 활발하게 이용하고 있는 정부기관 및 기업을 대상으로 APT 공격에 활용됨에 따라 국내 보안업체 뿐만 아니라 글로벌 보안업체에서도 관심을 갖고 관련 분석 보고서를 공개하고 있다.
하지만 기존에 공개된 악성 한글문서를 분석한 보고서는 단일 샘플 또는 단일 사고에 대한 단편적인 분석 보고서인 경우가 많아, 악성 한글문서를 이용한 일련의 공격에 대한 전체적인 흐름 및 이해가 부족한 편이다.
이에 금융보안원은 다수의 위협그룹이 다양한 악성 한글문서를 이용해 수행한 공격들에 대한 종합적인 분석과 프로파일링을 통해 현재까지 사용된 각 위협그룹의 악성코드 유포 및 추가 악성코드 생성 방식, 사용한 취약점 등을 도출하여 그 결과를 본 보고서에 기술하였다. 단, 내용의 일부는 사실관계가 명확히 확인되지 않은 것과 정황에 따른 추정도 포함되어 있다
02 개요
침해사고 및 악성코드를 분석하면서 공격자, 제작자를 추적하는 일은 쉽지 않다.
특히 자신을 철저하게 은닉하며 공격하는 사이버테러의 경우에는 더욱 그러하다. 때문에 분석가들은 침해사고 전반에 걸친 TTP(Tactics,Techniques and Procedures)를 분석하여 공격자(그룹)를 프로파일링 한다.
이러한 프로파일링 결과는 새롭게 발생하는 침해사고 및 악성코드를 분석할 때 공격 예상 시나리오나 은닉 기법 파악 등에 도움이 된다.
또한, 공격대상이나 공격목표 등을 예측하여 대비태세를 점검하고, 피해를 예방하여 선제적 대응이 가능하게 한다.
금융보안원은 2015년부터 2018년 상반기까지 알려진1) 악성 한글문서들에 대한 분석을 진행하여 특징점을 분류하고, 이에 따른 연관성 분석 결과와 변화 추이를 살펴보았다.
다양한 악성 한글문서에 대한 연관성 분석 결과, 사이버 공격에 한글문서를 이용한 위협그룹은 크게 블루노로프(Bluenoroff), 김수키(Kimsuky), 스카크러프트(Scarcruft) 3개의 위협그룹으로 구분된다.
각 그룹별로 사용하는 악성 한글문서의 특징 및 추가 생성되는 악성코드는 차이가 있지만, 각 위협그룹의 활동 배경, 목적 그리고 공격 방식상의 유사성을 분석한 결과, 일련의 연속된 침해사고로 판단하여 이를 “Campaign DOKKAEBI: Documents of Korean and Evil Binary” 라는 이름으로 종합 보고서를 작성하였다.
위협그룹이나 침해사고 분석보고서를 공개할 때 코드명을 사용하는 것을 자주 접할 수 있다.
보통 군사작전에서 정보유출에 대비하거나 작전에 의미를 부여, 혹은 단순히 부르기 쉽도록 부여 하던 전통에서 이어진 것으로, 특히, 사이버테러(전쟁)와 관련된 분석결과에 코드명을 부여한다.
비슷하게 하나의 침해사고를 오퍼레이션(작전), 일련의 연속된 침해사고를 캠페인으로 부른다.
이 보고서에서는 악성 한글문서의 악성코드 특징을 추출하고 이를 통한 연관성 분석 결과 등을 담고 있다.
단, 오퍼레이션은 자세한 사항이 알려지지 않아 여러 경로에서 수집한 악성코드 샘플을 토대로 정황을 파악하였고, 또한 현재 수사가 진행중인 사례의 경우도 부분적인 내용만을 포함하고 있다
. 블루노로프 (Bluenoroff) 그룹
. 김수키 (Kimsuky) 그룹
. 스카크러프트 (Scarcruft) 그룹
☞ 추가 내용은 첨부파일(링크)을 참고(Click) 하세요..!
댓글 없음:
댓글 쓰기