북한, PC화면 '토스트 팝업광고' 노려 공격…안랩·국정원 발견

인터넷익스플로러 보안취약점 악용
MS, 안랩·국정원 신고로 8월 패치

/사진=게티이미지뱅크

무료 소프트웨어(SW)를 설치하면 흔히 볼 수 있는 '토스트' 광고 상당수에 북한 해킹조직이 사이버 공격을 가한 것으로 드러났다.

16일 안랩시큐리티인텔리전스센터(ASEC) 분석팀과 국가정보원 산하 국가사이버안보센터(NCSC) 합동분석협의체는 이 같은 내용이 담긴 분석보고서를 발표했다.

토스트는 PC화면 오른쪽 아래에서 솟아오르는 팝업 알림창을 말한다. 토스트를 활용한 광고 서비스는 사용자의 PC가 광고대행사 서버에 있는 사진 등 광고 콘텐츠를 내려받아 화면에 표출하는 방식으로 작동한다.

사용자의 PC가 광고 콘텐츠를 내려받아 표출하기 위해선 동작을 수행할 '모듈'이 필요한데, 보고서에 따르면 특정 광고 프로그램은 마이크로소프트(MS)가 이미 지원을 종료한 탓에 보안이 취약해진 인터넷익스플로러(IE) 모듈을 활용하고 있었다.

IE 모듈은 파일의 종류를 제대로 가리지 못하는 보안취약점이 존재했다. 해킹조직은 이를 노려 국내 광고대행사의 서버를 장악한 뒤 사용자 PC가 광고 콘텐츠로 위장한 악성코드를 내려받도록 유도한 것으로 조사됐다.

MS는 지난 8월13일 정기패치로 IE 모듈의 보안취약점을 개선했다. ASEC와 NCSC가 보안취약점을 신고한 데 따른 조처다. ASEC와 NCSC는 보안취약점을 악용한 해킹조직을 북한의 'TA-레드앤트(TA-RedAnt)'로 지목했다.

안랩은 "MS가 2022년 6월 IE 지원을 종료했지만, 여전히 IE 모듈을 사용하는 일부 윈도우 앱을 노린 공격이 꾸준히 발견된다"며 "SW 제조사는 제품을 개발할 때 보안에 취약한 개발 라이브러리와 모듈을 사용하지 않도록 주의해야 한다"고 지적했다.

보안취약점을 발견·분석한 김준석 안랩 ASEC 선임연구원은 "토스트 광고 프로그램이 취약한 IE 모듈을 사용한다는 점을 노려 대규모 피해가 발생할 수 있었다"며 "피해 예방을 위해 사용자들은 운영체제·소프트웨어 보안 업데이트를 정기적으로 실시하는 등 기본 보안수칙을 준수해야 한다"고 말했다.

안랩의 분석보고서 전문은 ASEC 블로그와 NCSC 홈페이지에서 확인할 수 있다.

/사진제공=안랩

성시호 기자 shsung@mt.co.kr