안랩 “해커조직 김수키, MS 원노트 통해 악성 코드 유포”

변지희 기자 2023. 3. 20. 18:05
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

북한 해킹 조직 '김수키'(Kimsuky)가 마이크로소프트의 원노트(OneNote)를 악용해 악성 코드를 유포 중인 것으로 파악됐다.

안랩은 "최근 김수키 그룹에서 워드 문서로 유포하였던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성 코드로 유포하고 있는 것이 확인됐다"면서 "해당 파일들은 주로 사례비 양식, 개인 정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부 파일 실행에 유의해야 한다"고 강조했다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

안랩 제공

안랩 제공

북한 해킹 조직 ‘김수키’(Kimsuky)가 마이크로소프트의 원노트(OneNote)를 악용해 악성 코드를 유포 중인 것으로 파악됐다.

20일 안랩에 따르면 김수키는 한 연구소가 진행한 설문 조사에 참여해 감사하다며 사례비 30만원을 지급한다는 문서를 원노트를 통해 유포하고 있다. 원노트는 디지털 메모 작성 앱으로, 마이크로소프트 오피스에 포함돼 있어 워드나 엑셀 등에서 작성한 파일을 불러와 확인할 수 있다는 장점이 있다.

김수키는 사례비를 받으려면 문서에 첨부된 것처럼 보이는 ‘개인정보이용동의서.hwp’를 클릭해야 한다고 유도하고 있다. 그러나 ‘개인정보이용동의서.hwp’에는 한글 문서가 아닌 악성 스크립트(.vbs)가 숨어 있다. 만일 사용자가 이를 클릭하면 악성 파일이 ‘personal.vbs’ 명으로 임시 경로에 생성·실행돼 최종적으로 정보가 유출된다.

북한 해커조직 김수키는 지난 2014년 한국수력원자력을 해킹한 것을 비롯해 공공 기관은 물론, 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 오랫동안 여러 차례 해왔다.

안랩은 “최근 김수키 그룹에서 워드 문서로 유포하였던 악성코드를 CHM, LNK, OneNote 등 다양한 형식의 악성 코드로 유포하고 있는 것이 확인됐다”면서 “해당 파일들은 주로 사례비 양식, 개인 정보 양식을 위장해 메일로 유포되고 있어 사용자는 첨부 파일 실행에 유의해야 한다”고 강조했다.

- Copyright ⓒ 조선비즈 & Chosun.com -

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
조선비즈에서 직접 확인하세요. 해당 언론사로 이동합니다.