‘*.lnk’ 파일 조심해야…北 해킹 조직 악성코드 유포

북한 해킹 조직 ‘APT37’ 악성 코드 유포
바로가기로 위장해 침투…각별한 주의 필요

북한의 해킹 조직이 윈도우 바로가기 파일을 이용해 악성 코드를 유포하고 있어 주의가 요구된다.

23일 국내 보안 기업 안랩에 따르면 북한 해킹 조직 ‘APT37’은 최근 확장자가 ‘*.link’인 윈도우 바로가기 파일을 통해 악성 코드 록랫(RokRAT)을 유포하고 있다.

RokRAT은 사용자 정보를 수집하는 한편, 추가적으로 악성 코드를 다운로드할 수 있어서 감염되면 2차 피해가 발생할 수 있다. RokRAT은 과거에 한글 문서 및 워드 문서를 통해 유포되기도 했다.

[이미지출처=픽사베이]

지금까지 확인된 lnk 파일명은 ‘230407정보지.lnk’, ‘2023년도 4월 29일 세미나.lnk’, ‘2023년도 개인평가 실시.hwp.lnk’, ‘북 외교관 선발파견 및 해외공관.lnk’, ‘북한외교정책결정과정.lnk’이다.

이번에 확인된 lnk 파일은 윈도우에 기본적으로 탑재된 프로그래밍 언어인 파워셸 명령어를 내부에 포함하고 있다. 임시 폴더 경로에 정상 파일과 함께 스크립트 파일을 생성·실행해 악성 행위를 수행하는 방식으로 작동한다.

안랩 측은 “RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 워드 문서뿐만 아니라 다양한 형식의 파일을 통해 유포가 되는 만큼, 사용자의 각별한 주의가 필요하다”고 당부했다.

한편 이를 유포한 것으로 파악된 APT37은 최신 보안 취약점을 이용해 국내 대북 단체와 국방 분야 관계자를 공격해온 그룹이다. ‘금성121’, ‘스카크러프트’, ‘레드아이즈’, ‘그룹123’ 등 다양한 이름으로 불리고 있다.

최승우 기자 loonytuna@asiae.co.kr