해커 이미지. 사진 free domain
북한 해커조직 ‘김수키’(Kimsuky)가 정상 워드 문서로 위장한 악성코드를 방송 및 일반 기업까지 확대한 것으로 나타났다.
14일 안랩에 따르면 김수키가 만든 악성 코드가 자기소개서와 앱 서비스 제안서 등의 형태로 유포되고 있다.
유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’ ‘임** 자기소개서.docx’ ‘app-planning-copy.docx’ 등이다.
해당 파일을 내려받으면 여기에 포함돼 있던 악성 매크로가 실행되면서 cURL(Client URL) 명령어가 포함된 파일을 생성 및 실행한다.
이 파일에는 추가 악성 스크립트 다운로드 및 실행 코드가 들어 있어 실행 시 최근 연 워드 문서 목록, 시스템에 설치된 바이러스 백신 정보, 시스템 내 다운로드 폴더 경로 정보, 실행 중인 프로세스 정보 등이 외부로 유출된다.
안랩은 “처음에는 대북 관련 인사를 겨냥했던 악성 코드가 이제는 일반 기업 사용자를 대상으로도 유포되고 있다”고 전했다.
그러면서 “발신자를 알 수 없는 메일의 첨부 파일은 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
앞서 북한 해커조직 ‘김수키’는 포털사이트를 위장한 피싱메일로 이용자들의 비밀번호를 빼내려 시도한 정황이 발각됐다. 북한 해커조직들은 또 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭해 해킹 공격을 시도하기도 했다.
유엔 안전보장이사회 대북제재위원회 전문가 패널의 보고서는 북한의 사이버공격 대부분이 북한 정찰총국의 통제 아래에 있는 집단에 의해 수행됐으며 여기에는 김수키, 라자루스 그룹, 안다리엘 등 해커 조직이 포함돼있다고 설명했다. 또 이들 해커 조직이 사용하는 테크닉이 갈수록 정교해져 도난 자금을 추적하기가 어려워지고 있다고 지적했다.
