마이크로소프트(MS), 경찰·국방 기관을 사칭한 이메일로 한국 사용자의 PC에 몰래 침투하는 신종 해킹 공격이 발견됐다. 북한 연계 해킹조직의 소행으로 의심되는 공격으로 각별한 주의가 요구된다.

15일 보안기업 지니언스에 따르면 최근 북한 연계 해킹조직 ‘APT37’의 소행으로 여겨지는 신종 악성코드가 국내 이용자를 겨냥해 유포되고 있는 것으로 확인됐다. 악성코드는 감염된 PC를 외부에서 원격으로 조종할 수 있는 ‘백도어’ 유형이다.

공격은 수신자의 관심을 끌 만한 이메일로 시작한다. 항공권 전자티켓 확인서, 포털사 이메일 계정 알림, 북한연구 관련 행사 초청장, 국방·경찰 공문 등 무심코 열어볼 만한 주제다. 이메일에는 압축파일이 첨부되며 압축을 풀면 한글 문서처럼 보이는 바로가기(.lnk) 파일이 들어 있다. 이를 실행하면 악성코드가 설치된다.

지난 4월 확인된 경찰 사칭 사례에서는 ‘사이버범죄 신고시스템(ECRM).hwp’라는 정상 문서를 화면에 띄워 사용자를 안심시키고 몰래 악성 파일을 내려받아 실행했다. 여기에 정상 파일의 이름을 바꾸고 핵심 악성코드는 엉뚱한 형식의 파일로 위장해 두는 방식으로 백신의 탐지를 피했다. 위장된 파일의 정체는 파이선으로 제작된 원격제어 악성코드였다. 원격으로 통제할 수 있는 도구다.

지니언스는 여러 일치점을 토대로 이번 공격을 북한 연계 조직 APT37의 소행으로 지목했다. 지난해 9월 공개된 ‘인공지능(AI) 딥페이크 기반 군 공무원증 위조 APT 캠페인’과 미끼 문서의 최종 저장 계정명(Lailey) 등이 일치했고, 발신지(카페24)와 프랑스 도메인은 물론 일부 공격 서버 IP(51.158.21.1)까지 같았다. Lailey 계정은 APT37이 2022년 민주평화통일자문회의 사무처와 유엔 인권 서울사무소를 사칭한 공격에서도 사용됐다.

지니언스 관계자는 “공격에 쓰인 주소와 파일 이름은 언제든 바꿀 수 있는 만큼 악성코드가 실제로 어떻게 움직이는지를 추적해 잡아내는 보안 체계를 갖춰야 한다”고 말했다.

이영애 기자 0ae@hankyung.com