"북한 해커조직, 윈도 도움말 파일 위장한 악성코드 유포"

▲위 사진은 기사 내용과 관련이 없습니다.

북한 해커조직 '김수키'가 윈도 도움말 파일을 이용한 악성코드를 유포하고 있어 주의가 요구됩니다.

오늘(2일) 보안업체 안랩에 따르면 김수키는 최근 윈도 도움말 파일(.chm) 형식으로 된 악성코드를 보내고 있는 것으로 나타났습니다.

CHM 형식 파일을 실행하면 HTML 파일로 된 도움말 창을 생성하는데, 이때 htm 또는 html 파일에 포함된 악성 명령어가 함께 실행됩니다.

안랩은 "도움말 창이 정상적인 내용을 노출하기 때문에 이용자가 악성코드라는 점을 쉽게 알아채기 어렵다"고 설명했습니다.

김수키는 이렇게 유포한 코드로 사용자 정보를 수집하거나, 키보드에 입력한 정보를 중간에서 가로채는 '키로깅' 공격을 하는 것으로 파악됐습니다.

안랩은 김수키가 윈도 도움말 파일이나 바로가기 파일(.lnk), 원노트 파일(.one) 등으로 악성코드 유포 방식을 다변화하고 있다고 지적했습니다.

회사는 "보안 프로그램 진단을 우회하기 위해서"라고 분석했습니다.

안랩은 악성코드가 주로 사례비 또는 개인정보 양식을 위장하고 이메일로 유포된다며 "항상 첨부파일 실행에 유의해야 한다"고 강조했습니다.

그러면서 "백신을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다"고 권유했습니다.

김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌으며, 우리나라 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격을 계속 시도하고 있습니다.

주요 글로벌 보안업체들에 따르면 특히 김수키는 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하고 있습니다.

북한은 국제사회의 대북 제재가 강화하면서 이른바 '외화 벌이'에 타격을 받자 해킹과 마약 밀매 등 범죄 행위에 더욱 집중하는 것으로 알려졌습니다.

유영규 기자sbsnewmedia@sbs.co.kr