사진=게티이미지뱅크
사진=게티이미지뱅크
마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드가 발견됐다. 첨부파일을 열면 겉으로는 정상 문서가 실행되는 것처럼 보이지만, 뒤에서는 피해자 PC를 장악하는 악성코드가 설치되는 방식이다.

15일 국내 보안 기업 지니언스에 따르면 최근 북한 연계 해킹조직 APT37의 소행으로 의심되는 악성코드 '나왈랫'이 한국 사용자를 겨냥해 유포되고 있는 것으로 파악됐다.

공격은 MS 계정 보안 경고처럼 보이는 이메일에서 시작된다. 메일에는 "MS 계정에서 일회용 인증코드가 반복 생성되는 이상 징후가 감지됐다"는 내용이 담겼다. 발신자명은 ‘Microsoft 계정 팀’으로 표시되지만, 실제 발신 도메인은 MS 공식 도메인이 아닌 것으로 확인됐다.

메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문을 확인하라고 유도한다. 사용자가 압축파일을 풀면 한글 문서처럼 보이는 악성 바로가기 파일이 나타난다. 이를 실행하면 정상적인 보안 안내 문서가 열린 것처럼 보이지만, 동시에 악성코드 설치가 진행된다.

지니언스는 해당 악성코드가 설치 뒤 컴퓨터 내부에 'naverwhale'이라는 이름의 폴더를 작업 디렉터리로 만든다는 점에 주목했다. 국내에서 많이 쓰이는 네이버 웨일 브라우저 이름으로 위장하려는 의도로 풀이된다. 지니언스는 이 이름에서 착안해 악성코드를 'NarwhalRAT'으로 명명했다.

한국 사용자를 겨냥한 정황은 또 있다. 내부 코드에는 카카오톡 관련 창을 정보 수집 대상에서 별도로 처리하는 로직이 포함됐다. 보조 창을 걸러내 수집 데이터의 정확도를 높이는 방식으로, 한국 사용자 환경을 고려해 악성코드를 설계한 것으로 분석된다.

나왈랫은 공격자의 원격 명령에 따라 30종 이상의 기능을 선택적으로 실행할 수 있다. 키보드 입력 기록, 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등이 가능하다.

피해자가 어떤 프로그램을 쓰고, 어떤 서비스에 접속하며, 어떤 내용을 입력하는지 화면과 키보드 기록을 통해 파악할 수 있는 구조다. 단순한 파일 탈취를 넘어 PC 사용 행태 전반을 들여다볼 수 있는 셈이다.

수집된 데이터는 즉시 외부로 전송되지 않는다. 먼저 작업 디렉터리에 임시 저장된 뒤 한꺼번에 전송된다. 실시간 네트워크 탐지를 피하기 위한 방식으로 풀이된다.

지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례와 구조·수법 면에서 유사하다고 분석했다. 스피어피싱에 쓰인 미끼 문서의 최종 저장자명이 'Lailey'로 동일했고, 악성 바로가기 파일 구조와 배치파일 난독화 방식, 작업 스케줄러 기반 지속성 확보 방식도 상당 부분 일치했다는 설명이다.

전문가들은 MS나 포털, 금융회사 등 신뢰도 높은 기관을 사칭한 보안 경고 메일일수록 더 주의해야 한다고 조언한다. 발신자명만 보고 첨부파일을 열지 말고, 실제 발신 도메인이 공식 주소인지 확인해야 한다. 압축파일 안에 문서처럼 보이는 바로가기 파일이 들어 있을 경우 실행하지 않는 것이 안전하다.

이송렬 한경닷컴 기자 yisr0203@hankyung.com