"우리 이혼해요" 메일 열었다간…北 해커, 악성코드 유포

북한 추정 해커, 이혼 소송처럼 꾸민 파일
개인정보 빼내려는 움직임 '포착'

사진=게티이미지뱅크

이혼 소송 서류처럼 꾸민 악성코드가 유포되고 있어 주의가 요구된다.

15일 보안기업 이스트시큐리티에 따르면, 최근 '협의 이혼 의사 확인 신청서'를 위장한 워드 파일을 유포해 개인정보를 빼내려는 움직임이 발견됐다. 아직 정확한 문서 공유 경로는 확인되지 않았지만, 북한 해커로 추정된다.

해커가 보낸 문서에는 악성코드 '콰사르 RAT'가 담겼다. 이는 주로 피싱·스팸 메일이나 크랙 프로그램을 통해 유포된 코드로 이번 사례와 같이 워드 파일을 통해 공유된 적은 드물었다.

일단 문제의 파일을 열면 상단에 '콘텐츠 사용'이라는 버튼이 뜬다. 이 버튼을 클릭하면 '협의 이혼 확인신청서' 양식이 나온다.

/사진=이스트시큐리티

언뜻 보기엔 정상 파일처럼 보이지만, 파일이 열리면 악성 매크로가 자동으로 실행된다. 이와 함께 사용자 계정에 원격 접근이 가능해 악성 파일 설치, 개인 자료 수집 등의 행위가 가능해진다.

문제의 파일은 저장 형식이 '.doc'로 워드 형태를 취하지만, 문서 내용은 '.hwp' 한글 파일처럼 보인다.

이스트시큐리티 대응센터(ESRC) 측은 "공격자들이 법원 전자민원센터에서 제공되는 한글 파일(.hwp)을 워드 파일(.doc)로 저장해 '디코이'(decoy·유인) 파일로 사용했음을 추측할 수 있다"고 설명했다.

그러면서 "여러 지표를 분석한 결과 이번 공격은 북한이 배후에 있는 APT 조직의 '스모크 스크린(Smoke Screen) 공격 활동의 연장선으로 결론지었다"며 "북한정찰총국의 지원을 받는 해커 조직의 국내 공격이 거세지고 있다"면서 주의를 당부했다.

김소연 한경닷컴 기자 sue123@hankyung.com