북한 해커그룹이 기존 매크로를 이용한 멀웨어 유포가 아닌 문서파일에 악성코드를 숨기는 새로운 수법으로 사이버 공격을 시도하는 것으로 나타났다.
4일 보안 업체 체크포인트에 따르면 북한 해커그룹 ‘APT37’은 최근 LNK(바로가기) 파일을 통해 원격 접근 도구인 RokRAT(록랫)을 유포하기 시작했다. MS(마이크로소프트)가 오피스에서 출처가 불분명한 매크로를 차단시켰기 때문이다.
4일 보안업체 체크포인트에 따르면 APT37의 주요 공격 대상은 행정안전부와 외교부, 국내 주요 언론사 등이다. APT37은 LNK 파일을 PDF 파일로 바꾼 뒤 다른 두 개의 정상적인 파일과 함께 ZIP 아카이브에 포함시켜 피해자에게 이메일로 전송했다. 피해자가 압축파일을 풀면 정상적인 문서가 실행되지만 뒤로는 RokRAT을 설치하는 파일이 실행된다.
이처럼 북한 해커그룹은 계속해서 새로운 방식으로 사이버 공격을 감행하고 있다. 최근 또다른 북한 해커그룹 ‘김수키(Kimsuky)’가 보안 프로그램을 우회할 목적으로 윈도 도움말 파일에 악성코드를 심어 유포한 사실이 보안업체 등을 통해 드러나기도 했다.
안랩 ASEC에 따르면 김수키는 기존 워드 문서 뿐 아니라 윈도 도움말 파일(*.chm), 링크 파일(*.lnk), 원노트 파일(*.one) 등 다양한 포맷의 악성코드를 유포했다. 악성코드를 심은 파일들은 주로 이메일 첨부파일을 통해 피해자들에게 유포된 것으로 확인됐다.
김수키는 ‘정보지’나 ‘인사평가서’ 등으로 위장한 파일에 악성코드를 심어 유포하기도 했다. 김수키는 파일에 △230407 정보지 △2023년도 4월29일 세미나 △2023년도 개인평가 실시 △한국 핵무장 전문가 좌담회 △인터뷰 질의문 등의 제목을 달아 유포했다.
북한 해커그룹은 지난해 말 국내 인터넷뱅킹 금융보안인증 SW인 이니세이프의 보안 취약점을 악용해 PC 해킹 및 악성코드를 유포하는 사이버 공격을 감행하기도 했다. 당시 국가·공공기관 및 방산·바이오업체 등 국내외 주요기관 60여 곳의 PC 210여 대를 해킹 피해를 입었다.
이들은 중앙선관위를 여러 차례 해킹했다는 의혹도 받는다. 중앙선관위는 해킹당한 사실이 없다고 해명했으나 국회 행정안전위원회 소속 국민의힘 의원들은 3일 기자회견을 열고 중앙선관위가 행안부와 국가정보원으로부터 보안점검을 받아야 한다며 지적에 나섰다.
보안업계 관계자는 “북한 해커그룹이 유포하는 코드 형태가 다양해서 사용자의 주의가 필요하다”며 “사용자는 항상 첨부파일 실행에 유의해야 한다. 또 공격자가 다양한 유형으로 악성코드를 제작하는 것은 보안 제품들의 진단 우회를 목적으로 할 가능성이 높아 사용중인 백신을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다”고 말했다.
댓글0