청와대 행사 견적서 위장 공격…"배후는 북한 관련 조직"

이스트시큐리티, "악성파일 분석 통해 김수키 조직 확신"


[아이뉴스24 최은정 기자] 청와대 관련 행사 견적서로 위장해 악성코드를 퍼뜨린 사이버 공격이 발견됐다. 공격 배후에는 북한과 연루된 해킹 그룹이 있을 것으로 추측되고 있다.

4일 이스트시큐리티는 한글(hwp) 문서파일로 둔갑한 악성 실행파일(exe)을 탐지했다고 알약 블로그를 통해 밝혔다. 이스트시큐리티에 따르면 이 파일은 한국시간으로 지난 12월 2일 18시경 제작됐다.

이번에 발견된 악성파일은 '베트남 녹지원 상춘재 행사 견적서'라는 이름을 갖고 있으며, hwp와 exe 2중 확장자로 구성돼 있다. 실제로는 악성 실행파일이지만 아이콘을 hwp인 것처럼 속여 정상 한글파일로 오인하도록 만들었다.

악성파일이 실행된 후 보여지는 문서 내용. [이미지=캡처]

이 파일을 실행할 경우, 정상 한글문서가 뜨기 때문에 사용자는 일반 문서파일로 인식하게 된다. 하지만 실제로는 사용자 PC에 악성코드가 설치되며, 이를 통해 사이버 공격자는 PC를 원격제어하고, 개인정보 등을 탈취할 수 있다.

더불어 이스트시큐리티는 이번 악성파일 제작 배후에는 김수키 조직이 있다고 분석했다.

악성 문서파일 내부에 '바이너리(BINARY)' 리소스를 갖고 있고, '103', '104' 영역에 각각 한국어(Korean)로 설정된 데이터가 포함돼 있다는 게 그 이유다.

이스트시큐리티 측은 "103 데이터에는 정상적인 한글 문서파일이, 104 데이터에는 최종 악성 32비트 DLL 파일이 포함돼 있는 것으로 확인됐다"며 "리소스 자체가 한국어로 제작됐다는 점에서 악성파일 제작자가 한국어 기반 프로그래밍을 이용했다는 것을 짐작할 수 있다"고 말했다.

이어 "자사 시큐리티대응센터(ESRC)에서는 이번 악성파일이 정치·사회적 이슈를 활용한 지능형지속위협(APT)에 사용된 것으로 보고 있다"며 "분석과정을 통해 2014년 한국수력원자력 공격 배후로 지목된 바 있는 김수키 그룹으로 최종 분류했다"고 강조했다.

사용자는 확장자명이 전부 보이도록 폴더 옵션을 설정하고, 공백이 포함된 파일명을 확인하는 등 주의가 필요하다는 설명이다.

최은정기자 ejc@inews24.com

관련기사


포토뉴스