북한, '거제 어묵 품평회 참가신청서' 위장해 악성코드 유포

그림파일에 악성코드 숨겨 보안망 회피…북한식 표현인 '프로그람' 오기도 발견

북한 연계 해킹조직인 '라자루스'가 거제 수제어묵 품평회 참가신청서로 위장해 국내에 악성코드를 유포한 것으로 분석됐다.

21일 미국 사이버보안업체 '멀웨어바이트'에 따르면 라자루스는 지난달 31일 '참가신청서 양식'이라는 제목의 악성 워드 문서를 한국에 유포했다.

문서를 열면 '거제시 아주동 수제 어묵 품평회 참가신청서'라는 제목으로 이름과 주민등록번호, 주소 등을 기재할 수 있는 표가 나타나 평범한 문서 파일처럼 보인다.

그러나 파일을 여는 순간 문서에 삽입된 그림 파일의 확장자가 PNG에서 BMP로 변환되면서, 숨겨져 있던 악성코드가 호출된다.

멀웨어바이트는 "이미지에 삽입된 악성코드를 감지하는 보안 체계를 우회하기 위한 교묘한 방식"이라면서 "변환 전에 압축돼있는 악성코드는 기존의 탐지 체계로 발견하기 어렵다"고 설명했다.

이번 공격의 피해 정도는 확인되지 않았다.

멀웨어바이트는 "라자루스는 지난 몇 년간 한국과 미국, 일본 등을 겨냥해 가장 활발하고 정교하게 활동해 온 해킹조직"이라면서 주의를 당부했다.

국내 보안업체 '이스트시큐리티'도 20일 악성코드 분석 리포트에서 "최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있다"면서 라자루스 등 북한 해킹조직을 배후로 언급했다.

마찬가지로 설문지나 참가신청서 양식 등을 가장한 이메일을 보내고, 그림파일 확장자를 변경해 악성코드를 유포하는 방식이다.

특히 이 업체는 "가짜 화면에 특이하게 '프로그람'이라는 단어가 발견됐고, 이후 보고된 변종에서는 문구가 변경됐다"고 밝혔다.

문서가 정상적인 워드 문서인 것처럼 속이기 위한 위장 화면에서 '프로그람'이라는 북한식 표현을 사용했다가 이후 수정한 것이다.

업체는 "사이버 위협 배후를 조사하는 데 있어서 언어학적 분석은 중요한 근거로 작용한다"면서 "평상시 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 증거 지표가 될 수 있다"고 설명했다.

/연합뉴스