원 노트 실행시 본문 내용. 사진 ASEC 블로그 캡처
북한 해킹 조직 '김수키'(Kimsuky)가 설문 조사에 응하면 소정의 사례비를 주겠다는 내용의 문서를 원노트(OneNote)를 통해 유포해 악성 코드를 심고 있는 것으로 파악됐다.
마이크로소프트의 원노트는 디지털 메모 작성 앱으로, 마이크로소프트 오피스에 포함돼 있어 워드나 엑셀 등에서 작성한 파일을 불러와 확인할 수 있다는 장점이 있다.
20일 안랩에 따르면 김수키는 한 연구소가 진행한 설문 조사에 참여해 감사하다며 사례비 30만원을 지급한다는 문서를 원노트를 통해 유포하고 있다.
사례비를 받으려면 문서에 첨부된 것처럼 보이는 '개인정보이용동의서.hwp'를 클릭해야 한다고 유도하고 있다.
그러나 '개인정보이용동의서.hwp'에는 한글 문서가 아닌 악성 스크립트(.vbs)가 숨어 있다.
만일 사용자가 이를 클릭하면 악성 파일이 'personal.vbs' 명으로 임시 경로에 생성, 실행돼 최종적으로 정보가 유출된다.
북한 해커조직 김수키는 지난 2014년 한국수력원자력을 해킹한 것을 비롯해 공공 기관은 물론, 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 오랫동안 수차례 해왔다.
안랩은 "최근 김수키 그룹에서 워드 문서로 유포했던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성 코드로 유포하고 있는 것이 확인됐다"면서 "해당 파일들은 주로 사례비 양식, 개인 정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부 파일 실행에 유의해야 한다"고 강조했다.
