최근 모 서버 보안 및 클라우드 보안 서비스 제공업체가 APT공격 경보를 발표했다. 해당 업체의 APT 대응팀에서 제출한 보고서에는 “국제적인 해커 그룹이 마이크로소프트 RTF 취약점을 이용해 타이완 정부기관 및 기업에 대해 지속적인 대규모 APT 공격 행위를 감행했다”고 밝혔다.
 
해커들은 백도어 프로그램이 설치된 ‘서비스 무역 협정’과 관련된 내용을 메일로 전송하는 방법으로 PC를 제어했다.
 
현재 이미 20여개 정부기관과 기업이 공격을 받은 상황이다. 따라서 해당 보안업체는 MS14-017 취약점 복구는 물론 APT 정보보안 테스트를 권유하고 있다.
 
보안업체 전문가는 “공격자들은 국제 해커그룹이 사용하는 대표 악성 프로그램을 사용했으며, 마이크로소프트 RTF 취약점을 이용해 사용자 PC에 대한 제로데이 공격을 감행했다. 따라서 감염된 PC는 좀비PC로 이용되어 서비스 무역 협정이라는 내용이 담겨있는 메일을 타이완 정부기관과 기업에 전송했다. 또한 메일을 통해 HEUR_RTFEXP.A 및 HEUR_RTFMALFORM 백도어가 설치되어 사용자가 메일을 확인하는 순간 백도어가 삽입되어 PC대한 제어권한을 획득하게 됐다”고 설명했다.
 
3월 24일, 마이크로소프트에서 해당 RTF 취약점을 발표했지만 이 보안업체의 APT 솔루션은 당일 악성프로그램 샘플을 탐지했다. 또한 분석을 통해 확인한 결과 공격자들은 일본 웹사이트를 프록시로 이용해 추적을 회피한 것으로 분석했다.
 
이번 공격사건은 후속 공격의 위험성이 남아있는 것으로 알려졌다. 때문에 대만 정부기관과 기업은 관련 취약점 복구 및 시스템 데이터에 대한 보안강화가 시급하다고 강조했다.
 
[뉴스제공. 중국 보안정보 전문기업 씨엔시큐리티 / www.cnsec.co.kr]