성인용 게임에 악성코드 심고
카드명세서·보안 메일 위장해 공격

악성파일 설치 와중에도 게임 정상 작동
다운로드할 때 이상 여부 감지 힘들어

신용카드 명세서로 위장한 이메일 확산
실제 카드사 요금 명세서와 구분 어려워
北 연계 해킹 조직 '탈륨' 소행 추정
 Getty Images Bank

Getty Images Bank

인터넷 이용자들을 기상천외한 방법으로 속이는 해킹 기법이 속출하고 있다. 게임에 악성코드를 심는 건 기본이고, 카드 명세서와 같은 보안 메일을 위장해 공격 성공 확률을 끌어올리기도 한다. 배후엔 북한 연계 해킹 조직이 지목되고 있다.
○누르면 당한다
안랩은 특정 파일공유 사이트에 유명 성인용 게임으로 위장한 악성 파일을 유포하는 사례를 최근 발견했다. 공격은 다운로드한 압축파일 중 ‘Game_Open.exe’를 실행하면 시작된다. 해커 명령에 따라 디도스(DDoS·분산서비스 거부) 공격을 수행하는 봇(Bot) 악성코드가 설치되는 것이다. 봇은 해커가 원격으로 감염 컴퓨터를 조종할 수 있는 악성코드다. 자기복제 능력이 있는 게 특징이다. 컴퓨터 트래픽을 대량으로 유발해 시스템을 마비시키는 디도스 공격의 시발점 역할을 한다.

문제는 악성코드가 설치되는 와중에도 성인용 게임은 정상 작동한다는 점이다. 다운로드 과정에서 일반 이용자가 이상 여부를 감지하긴 거의 불가능하다. 해커는 ‘[19한글판]’이라는 표기와 함께 다른 성인용 게임들도 무작위로 업로드했다.

성인용 게임을 기반으로 한 악성코드 유포는 지난해 말부터 기승을 부리고 있다. 악성코드 설치를 유도하기 위해 ‘압축파일 속 실행파일(.exe)을 실행하라’는 내용이 포함됐다. 이재진 안랩 분석팀 주임연구원은 “파일공유 사이트를 이용한 디도스 악성코드 유포는 꾸준히 발견되는 추세”라며 “파일은 반드시 신뢰할 수 있는 공식 홈페이지를 통해 내려받아야 한다”고 말했다.
○北 해킹 조직 기승 … 메일함 ‘주의’
해커들은 일상 속 이메일도 파고들었다. 보안기업 이스트시큐리티는 최근 신용카드 요금 명세서로 위장한 이메일이 확산 중이라고 밝혔다. ‘2022년 1월 명세서’라는 표기와 함께 공격 대상자 이름이 담긴 이메일로, 실제 카드사 요금 명세서와 구별이 쉽지 않다. ‘고객님의 명세서를 보내드립니다. 첨부파일을 클릭하세요’라는 문구와 동봉된 메일엔 확장자명 ‘html’의 첨부파일이 담겨 있다. 파일을 누르면 악성 피싱 사이트로 연결돼 개인정보가 빠져나간다. 북한 연계 해킹조직 ‘김수키(탈륨)’ 소행으로 추정된다.

탈륨은 최근 벌어지는 위장 이메일 공격의 중심에 있다. 북한의 정보기관이자 해외 공작활동을 주도하는 정찰총국과 관련 있는 단체라는 게 보안업계의 분석이다. 탈륨은 지난해 10월 벌어진 ‘네이버 뉴스 위장 해킹공격’ 사태 주범으로도 추정된다. 당시 이들은 대북 전문가들을 주요 표적으로 삼아 ‘장인 노태우 조문하고 미국 가는 최태원’이란 실제 뉴스 기사를 URL 링크 주소와 함께 배포했다. 공격에 사용된 이메일은 ‘네이버 뉴스(news@navercorp.corn)’라는 명칭으로 교묘히 주소를 조작했다. 그간 워드 또는 PDF 문서 형태의 공격과 달라 불의의 피해 신고가 잇따랐다.

대표적 북한 연계 해킹 그룹으로 알려진 ‘금성121’도 활동 영역을 넓히고 있다. 금성121은 SNS로 북한의 최근 정세와 안보 관련 문서를 가장해 국내 인권단체들을 대상으로 배포하다가 적발됐다. 문서를 여는 순간 악성 매크로 명령어가 실행되는 구조다. 문종현 이스트시큐리티 ESRC센터장은 “사이버 위협 배후가 북한 소행으로 지목된 사례가 계속 발견되는 추세”라며 “기업, 기관은 일상적 보안 수칙 준수 여부를 재점검해야 한다”고 말했다.

이시은 기자 see@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지