"北, 외교안보 학술회의 위장문서로 해킹 공격"

"PDF 문서 위장한 악성파일 주의"

[아시아경제 장희준 기자] 북한이 대북 분야 종사자를 표적으로 사이버 공격을 시도했다. 최근 정부·기관이 아닌 개인을 상대로 한 북한의 해킹 시도가 빈번한데, 남측의 대북 정보를 탈취하거나 전문가를 포섭하려는 의도로 분석된다.

보안 전문기업 이스트시큐리티는 남북 외교안보 학술회의 토론 발제문 요청으로 위장한 북한 연계 해킹 공격이 포착됐다고 2일 밝혔다.

이번 공격은 국내 외교·안보·통일 등 대북 분야 종사자나 관련 학술회의 및 연말행사 참석자를 대상으로 이뤄졌다. 행사 일정을 문의하거나 자료를 요청하는 듯한 내용으로 꾸며진 이메일을 보내고, 답장한 이들에게 선별적으로 접근하는 이른바 '투트랙' 방식으로 공격을 시도했다.

처음 발송되는 이메일은 해킹 공격에 흔히 쓰이는 악성 첨부파일이나 URL 링크가 포함되지 않아 의심을 피했다. 그러나 답장에 이어져 오는 메일엔 악성 파일이나 문제의 링크가 함께 첨부된 경우가 많은 것으로 파악됐다.

PDF문서처럼 위장한 이중 확장자의 LNK 악성파일 화면 [사진=이스트시큐리티 제공]

특히 정상적인 PDF 문서처럼 보이도록 이중 확장자로 만든 '바로가기(LNK)' 유형의 악성 파일이 발견됐다.

예컨대 '중요 자료.PDF.LNK'라고 된 파일에서 '바로가기(LNK)' 확장자 부분은 윈도우 운영체제에서 나타나지 않아 '중요 자료.PDF'로 보인다. 겉보기엔 평범한 PDF 파일로 나타나는 것이다.

그러나 문제의 '바로가기(LNK)' 파일에는 'mshta.exe' 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 몰래 통신을 시도하는 명령이 숨어 있는 것으로 확인됐다. 특히 이 서버는 그간 북한이 배후로 평가되는 해킹 공격에서 꾸준하게 발견된 곳 중 하나다.

문종현 이스트시큐리티 이사는 "PDF 문서처럼 보이는 파일을 받을 경우 이중 확장자 여부를 꼼꼼히 살펴야 한다"며 "통상적으로 압축돼 오는 파일을 무심코 풀지 말고 내부 목록을 먼저 확인한 뒤 접근해야 한다"고 당부했다.

한편 국가정보원에 따르면 국제 및 국가 배후 해킹조직에 의한 공격 시도는 일평균 115만건에 달한다. 이 가운데 다수는 북한의 소행이라는 게 정보 당국의 판단이다.

앞서 북한은 SK C&C 판교 데이터센터에서 발생한 화재로 카카오 서비스 장애가 발생했을 당시 북한 관련 업계 종사자와 탈북민, 정치인 등을 대상으로 '[Kakao] 일부 서비스 오류 복구 및 긴급 조치 안내'라는 제목의 피싱 이메일을 뿌리기도 했다.

장희준 기자 junh@asiae.co.kr