[아이뉴스24 김국배기자] 무료 클라우드 서비스를 동원해 한글(HWP) 워드 프로세서 사용자를 노린 악성코드 공격이 발견됐다.
공격자는 추적을 어렵게 할 목적으로 무료 클라우드 서비스를 명령제어(C&C) 서버로 사용했다.
27일 네트워크 보안 업체 포티넷코리아는 HWP 문서 대상 악성코드 공격을 발견했다고 발표했다.
이번 공격은 이미 잘 알려진 취약점(CVE-2015-2545 EPS)을 악용했다. 원전, 노동 정책 등 정치적 이슈를 담아 사용자를 유인했다. HWP는 우리나라 정부기관에서 많이 사용되는 문서 형식이다.
악성 문서를 실행하게 되면 사용자 단말에 저장된 기밀 문서를 검색하고 브라우저에 저장된 자격 증격을 탈취한 후 C&C 서버에 암호화해 저장한다. 공격자는 '클라우드탭'이라는 악성코드를 1년 이상 사용한 것으로 분석됐다.
특히 이 공격은 데이터 스토리지와 통신을 제공하는 무료 클라우드 서비스인 'p클라우드(pCloud)'를 C&C 서버로 사용했다.
p클라우드는 스위스 IT회사인 p클라우드 AG가 개발한 클라우드 스토리지 서비스다. 2013년부터 시작된 이 서비스는 가입할 경우 이메일 검증 절차 없이 10기가바이트(GB)의 무료 스토리지를 제공한다.
클라우드 서비스를 C&C 서버로 활용할 경우 공격자가 직접 웹 서버를 설치하거나 다른 사람의 웹 서버에 침투할 필요가 없고, 설정이 간편하다는 것이 회사 측 설명이다.
또한 정보가 거의 없어 포렌식 조사에 착수하기도 매우 복잡하며 서버 사용 비용을 줄일 수 있다.
포티넷 보안연구소 포티가드랩은 "웹사이트에 침투하는 것과 달리 클라우드는 포렌식 조사를 진행할 실제 기계가 없고 악성코드 흔적을 찾아낼 만한 웹 관리자도 없다"며 "게다가 이런 서비스 계정은 개인정보 보호 정책의 보호를 받아 특정 계정에 대한 정보가 필요할 때는 오히려 이 정책이 걸림돌로 작용한다"고 설명했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기