"중요문서 같은데"…바로가기 LNK파일 의심없이 열었다간 > IT/과학기사 | it/science

[서울=뉴시스] 김정은 북한 국무위원장이 지난 10일 정권수립일9·9절 75주년 경축 민방위무력 열병식 참가자들과 10일 기념사진을 찍었다고 조선중앙TV가 11일 보도했다. 사진=조선중앙TV 캡처 2023.09.09. *재판매 및 DB 금지 *재판매 및 DB 금지

북한 배후 해킹조직 금성121이 국가정보원 사칭 메일로 대용량의 LNK파일을 유포한 것으로 확인됐다. 금성121은 2019년 10월 태영호 전 주영북한대사관 공사당시 미래통합당 국회의원 후보, 현 국민의힘 국회의원를 해킹하는 등 국내 대북 관련 인물 혹은 기관을 주로 공격해온 조직이다.

이스트시큐리티 ESRC시큐리티대응센터는 최근 금성121의 이같은 공격 정황을 확인하고 주의를 요구했다. 1일 ESRC에 따르면 금성121은 지난달 12~17일 있었던 김정은 북한 국무위원장의 러시아 방문에 대한 대북 관련 국내 활동가의 원고로 위장해 사용자의 흥미를 유발했다.

사용자가 2023-0918 김정은 방러결과.lnk라는 제목의 파일을 더블클릭하면 같은 이름의 한글 파일이 열리면서 정상파일인 것처럼 보인다. 하지만 백그라운드에서는 악성코드가 실행된다. 이 악성코드는 공격자로 하여금 특정 확장자에 대한 정보 수집 및 전송, 추가 페이로드 다운로드 및 실행 등의 명령 제어를 가능하게 해준다.

또 금성121은 20220409 국가정보원 혁신 방안.lnk이라는 제목의 파일도 유포했다. 해당 파일을 더블클릭하면 국가정보원 혁신 방안이라는 한글 파일이 실행되면서 대외보안에 각별히 유의하여 주시기 바랍니다라는 주의 문구까지 뜬다. 하지만 마찬가지로 백그라운드에서는 악성코드가 자동으로 실행된다.

LNK파일은 바로가기 파일로 정상적인 문서 모양을 한 채로 공격 대상의 시스템에 안착한다. 금성121 등 북한 배후 해킹조직들은 최근 백신 프로그램 기술이 업그레이드되자 매크로를 이용하던 기존 공격 방식에서 LNK파일을 이용하는 공격 방식으로 바꿨다. LNK파일은 PDF나 HWP파일로 변환이 가능해 악성코드 진단을 회피할 수 있기 때문이다.

앞서 금성121은 지난 5월 워싱턴선언, 북핵 위협 대응에 얼마나 도움이 될까.lnk라는 50MB 크기의 파일을 유포하기도 했다. 50MB라는 크기는 더미값이 다수 포함된 용량이다. 공격자들은 악성코드가 담긴 파일로 보이지 않게 하기 위해 의미없는 더미값을 포함시켜 용량을 증가시키고 있다.

북한은 최근 사회적으로 민감하고 관심도가 큰 이슈가 발생할 때마다 관련 콘텐츠를 악용해 사이버공격을 시도하는 모습이다. 이는 사회공학적 해킹으로 단순히 시스템 보안을 뚫고 들어가 정보를 빼내는 것이 아니라 사용자의 정보를 모조리 파악해 모든 정보에 접근이 가능해지기 때문에 전통적인 해킹 공격보다 피해가 큰 것이 특징이다.

ESRC 관계자는 "국내외 대북 관련 단체 또는 활동가를 타깃으로 한 북한 해킹조직의 스피어피싱 공격이 날로 고도화되고 그 대상도 타깃화되고 있다"며 "이메일의 진위 여부 확인 후 첨부파일·링크 접근 또는 이중인증 활성화 등 개인의 보안의식을 고취시켜야 한다"고 강조했다.

이정현 기자 goronie@mt.co.kr

ⓒ 머니투데이 amp; mt.co.kr, 무단 전재 및 재배포 금지