한국(South Korea)과 연계된 사이버 스파이 그룹 APT-C-60이 최근 중국 킹소프트(Kingsoft)에서 개발한 WPS 오피스(WPS Office)의 제로데이 취약점을 악용한 사이버 공격을 감행한 사실이 드러났다고 사이버 보안 업체 이셋(ESET)과 DBAPPSecurity에서 공개해 파장이 일고 있다. 이셋측은 북한이 아닌 남한의 해커 조직이라고 명확히 밝히고 있다.
해외 보안연구원들에 따르면, “APT-C-60은 북한이 아닌 남한과 연계된 사이버 스파이 그룹이다. 이 그룹은 주로 동아시아 지역을 표적으로 삼아 활동하는 지능형 지속 위협(Advanced Persistent Threat, APT) 그룹으로 알려져 있다. 최근 이 그룹은 WPS 오피스의 제로데이 취약점(CVE-2024-7262 및 CVE-2024-7263)을 악용하여 스파이글레이스(SpyGlace)라는 맞춤형 백도어를 배포한 사실이 밝혀졌다”고 전하고 있다.
특히 APT-C-60은 MHTML 형식의 악성 스프레드시트 파일을 사용해 공격을 수행하였다. 이 파일들은 무해해 보이는 이미지 뒤에 악성 하이퍼링크를 숨겨 사용자가 클릭하도록 유도하는 방식으로 작동한다. 사용자가 이 하이퍼링크를 클릭하면 악성 코드가 실행되어 시스템에 스파이글레이스를 설치하게 된다. 스파이글레이스는 원격 접근을 가능하게 하며, 데이터를 유출하거나 시스템을 심각하게 손상시킬 수 있는 기능을 가지고 있다.
이 그룹의 활동은 주로 중국과 동아시아의 다른 국가들에 집중되어 있다. 킹소프트는 이 취약점을 2024년 3월과 5월에 각각 패치하였으나, 초기 패치가 불완전하여 추가적인 공격 가능성이 있었던 것으로 알려져 있다.
APT-C-60은 정보 탈취와 같은 사이버 스파이 활동을 목표로 하며, 특히 인적 자원 및 무역 관련 조직들을 주로 공격 대상으로 삼는다. 이 그룹의 공격 방식과 사용된 악성 코드의 특성은 상당히 정교하며, 피해 조직에 심각한 위협을 초래할 수 있다.
보고서에 따르면, 이번 공격은 2024년 2월부터 시작된 것으로 추정되며, 동아시아 지역의 사용자들을 대상으로 맞춤형 백도어(SpyGlace)를 배포하는 데 사용됐다고 전했다.
이번에 발견된 취약점, CVE-2024-7262는 윈도우 버전의 WPS 오피스에서 발생하며, 'ksoqing://'와 같은 커스텀 프로토콜 핸들러를 처리하는 과정에서 발생한 문제로, 공격자가 악의적인 하이퍼링크를 문서에 삽입하고 이를 클릭하도록 유도하면 임의의 코드를 실행할 수 있게 한다.
APT-C-60은 이 취약점을 악용해 겉으로는 무해해 보이는 MHTML 형식의 스프레드시트 문서를 제작하고, 이 문서의 이미지 아래에 악성 하이퍼링크를 숨겨 놓았다. 사용자가 링크를 클릭하면, 공격자의 코드가 실행되며, 처음에는 악성 DLL(동적 링크 라이브러리)을 다운로드해 최종적으로 스파이글레이스(SpyGlace)를 설치하게 된다.
■ 스파이글레이스(SpyGlace) 백도어
스파이글레이스는 APT-C-60이 이전에도 사용했던 맞춤형 백도어로, 설치되면 공격자가 감염된 시스템에 지속적으로 접근할 수 있도록 한다. 이를 통해 공격자는 데이터 탈취, 감시, 시스템 설정 변경 등을 수행할 수 있다. 스파이글레이스의 복잡성은 장기적인 정보 수집을 목적으로 설계되었음을 나타낸다.
킹소프트는 2024년 3월에 CVE-2024-7262를 조용히 패치했지만, 이 과정에서 취약점이 여전히 악용될 수 있는 불완전한 패치였다는 사실이 밝혀졌다. 이셋의 연구원들은 이번 공격을 분석하는 과정에서 CVE-2024-7263이라는 새로운 취약점을 발견했으며, 이는 CVE-2024-7262의 불완전한 패치로 인해 발생한 문제다.
킹소프트는 결국 2024년 5월 말에야 CVE-2024-7263을 포함한 모든 취약점을 완전히 해결하는 패치를 배포했다. WPS 오피스 사용자들은 즉시 최신 버전으로 업데이트할 것이 강력히 권장된다.
사이버 보안 전문가들은 이번 APT-C-60의 공격이 사용자를 속여 악성코드를 실행하게 하는 매우 교묘한 방식이라고 평했다. 특히 MHTML 형식의 사용은 공격을 더욱 합법적으로 보이게 만들어, 보안 조치들이 이를 감지하기 어렵게 만들었다.
전문가들은 WPS 오피스 사용자가 최신 버전으로 업데이트하는 것이 매우 중요하다고 강조했다. 또한, 조직들은 이러한 고도화된 공격을 탐지하고 중화할 수 있는 고급 위협 탐지 시스템을 도입할 것을 권장한다.
[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)
▶주최: 데일리시큐
▶후원: 과학기술정보통신부, 개인정보보호위원회, 한국정보보호산업협회
▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)
▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시
▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비
▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명
▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)
▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.
▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급
▶사전등록: 9월 8일 오후 5시 마감
▶사전등록링크: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★