'정보지' PDF? 잘못 클릭했다간…北 해커 '먹잇감' 된다

APT37, 바로가기 파일로 악성 코드 유포…안랩, 이용자 주의보

악성 작업자동화(파워쉘) 명령어가 숨어있는 lnk 파일 속성. /사진=안랩

북한 해킹조직 APT37이 최근 정보지 또는 각종 외교·북한 정보를 담은 PDF 파일로 위장한 '바로가기 파일'을 통해 악성코드를 유포한 것으로 확인됐다.

23일 안랩 보안 전문가 조직(ASEC) 따르면 APT37은 최근 바로가기를 지원하는 '링크 파일(*.lnk)'을 통해 록랫(RokRAT) 악성 코드를 유포하고 있다. 록랫 악성코드는 사용자 컴퓨터 정보나 화면 등을 수집한다. 추가로 사용자 PC에 악성 코드를 다운로드받거나 실행시킬 수 있어 2차 피해가 발생할 수 있다.

이번에 발견된 파일은 △230407정보지.lnk △2023년도 4월 29일 세미나.lnk △2023년도 개인평가 실시.hwp.lnk △북 외교관 선발파견 및 해외공관.lnk △북한외교정책결정과정.lnk 등이다.

파일은 PDF 아이콘으로 위장하고 있다. 사용자가 해당 링크 파일을 클릭하면 정상 PDF 파일을 실행한 것처럼 보이도록 한 뒤, 악성 작업자동화(파워쉘) 명령어 등 파일 내부에 숨겨진 악성 스크립트 파일로 이용자를 공격한다.

해당 악성 코드를 유포한 APT37은 지난달 국내 금융 기업 보안 메일을 사칭해 chm 악성코드를 유포한 북한 해킹 그룹이다. 레드아이즈, 그룹123, 금성121 등으로도 불리며, 국내 대북 단체 등을 공격해왔다.

안랩은 "RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 워드 문서뿐만 아니라 다양한 형식의 파일을 통해 유포되는 만큼 사용자의 각별한 주의가 필요하다"고 강조했다.

배한님 기자 bhn25@mt.co.kr