공격자 C&C서버로 무료 클라우드 서비스 사용

▲ 한국 핵정책에 대한 항의가 포함된 악성 HWP문서

[아이티데일리] 포티넷(한국지사장 조현제)은 자사 보안연구소인 포티가드랩(FortiGuard Labs)이 한글 워드 프로세서(이하 HWP) 사용자를 대상으로 하는 멀웨어 공격을 발견했다고 27일 밝혔다.

이번 공격은 ‘CVE-2015-2545 Encapsulated PostScript(EPS)’ 취약성을 사용하는 HWP 문서로, 원전 및 노동 정책 등 국내 정치적 이슈를 내용으로 사용자를 유인한 것으로 보인다.

포티넷의 설명에 따르면, 공격자는 악성문서에 캡슐화된 포스트스크립트를 숨기고, 피해자가 문서를 실행하면 스크립트가 실행돼 페이로드를 다운로드하는 방식으로 공격한다. 이후 기밀문서와 자격증명 등의 정보를 탈취해 C&C서버에 저장한다.

또한, 공격자는 데이터 스토리지와 통신을 제공하는 무료 클라우드 서비스인 ‘피클라우드(pCloud)’를 C&C서버로 이용해 추적이 어려우며, 수집한 샘플을 분석한 결과 공격에 사용된 멀웨어 ‘클라우드탭(CloudTap)’이 나타난 지 1년이 넘은 것으로 파악됐다.

포티넷은 공격자가 무료 클라우드 서비스를 C&C서버로 활용하는 데는 여러 가지 장점이 있다고 설명했다. 우선, C&C서버 구축비용이 들지 않으며, 설정이 간편하고 사용하기에 충분한 기능을 갖고 있어 웹 서버를 구축하거나 다른 웹서버를 침투할 필요가 없다. 더불어 클라우드는 언제나 온라인에 액세스 할 수 있고, 클라우드 서비스 계정은 개인정보 보호정책의 보호를 받아 계정에 대한 정보도 노출되지 않는다. 더불어 정보가 적어 포렌식 조사에 착수하는 것도 쉽지 않아 공격자를 추적하기 어렵다.

포티넷 관계자는 “이번 공격은 표적화된 공격이 어떤 방식으로 탐색을 회피하는지 보여주는 사례”라며, “공격자들은 공격의 흔적을 남기지 않도록 주의를 기울이고 있으며, 그 일환으로 무료 클라우드 서비스 등을 이용하고 있다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지