![[오늘의 운세] 4월 16일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/16/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
![[단독] 마약 잡던 검사, 학생에 마약 판 놈 변호…벨트검사의 배신 [벨트검사의 두 얼굴①]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/16/23a65971-2bd2-42c1-8526-b076d6a44f55.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
사진 이스트시큐리티 대응센터(ESRC) 홈페이지 캡처
북한 추정 해커가 이혼 소송 서류처럼 꾸민 워드 파일로 악성코드를 유포하고 있는 것으로 나타났다.
15일 이스트시큐리티 대응센터(ESRC)에 따르면 최근 '협의 이혼 의사 확인 신청서'를 위장한 워드 파일을 유포해 개인정보를 빼내려는 움직임이 포착됐다.
이 워드 파일에는 악성코드인 '콰사르 RAT'가 포함됐다. 주로 이 악성코드는 피싱이나 스팸 메일, 크랙 프로그램을 통해 유포됐다. 이번 사례처럼 워드 파일 통해 공유된 적은 드물어 주의가 요구된다.
문제의 워드 파일을 열면 상단에 '콘텐츠 사용'이라는 버튼이 뜬다. 이 버튼을 클릭하면 '협의 이혼 확인신청서' 양식이 뜬다.
언뜻 정상 파일처럼 보이지만 악성 매크로가 함께 자동 실행된다. 이 매크로가 작동하면 사용자 계정에 원격 접근이 가능해 악성 파일 설치·개인 자료 수집 등 악성 행위가 가능해진다.
여기서 주목할 점은 일반적인 워드 파일과 다르게 파일 형식이 '.doc' 파일이지만, 문서 내용은 '.hwp' 파일처럼 보인다는 것이다.
ESRC는 "공격자들이 법원 전자민원센터에서 제공되는 한글 파일(.hwp)을 워드 파일(.doc)로 저장해 '디코이'(decoy·유인) 파일로 사용했음을 추측할 수 있다"고 설명했다.
또 "여러 지표를 분석한 결과 이번 공격은 북한이 배후에 있는 APT 조직의 '스모크 스크린(Smoke Screen) 공격 활동의 연장선으로 결론지었다"며 "북한정찰총국의 지원을 받는 해커 조직의 국내 공격이 거세지고 있다"고 덧붙였다.
