"코인거래소 파일 열었더니"…北이 보낸 악성 코드

북한 해커조직 '김수키' 유포
안랩 "첨부파일 열 때 주의"

북한 해커 조직 '김수키(Kimsuky)'가 코인 거래소로 속여 악성 코드를 유포하고 있는 것으로 나타났다.

20일 안랩에 따르면 김수키는 코인 관련 내용으로 위장한 악성 코드를 실행 파일 또는 워드 문서 형태로 유포 중이다. 악성 코드는 '위**월렛 자금 자동 인출.docx' '위**팀-월렛 해킹 공통점.docx' '20230717_030190045911.pdf' 등으로 파악됐다. 안랩은 "이들 문서는 아이콘이 워드나 PDF 파일 형태를 띠고 있어 정상 문서처럼 보인다"고 설명했다. 사용자가 파일을 열면 코인 거래소의 문서나 자산 보고서인 것처럼 보인다. 하지만 김수키는 웹 주소인 URL에 존재하는 악성 스크립트 코드가 실행되도록 했다. 그만큼 사용자 개인정보가 유출될 위험이 크다. 특히 문서는 '자산 운용 보고서' 등 정상적인 보고서처럼 위장해 진짜 문서인지 분간하기 어렵게 했다.

안랩은 "이 악성 코드는 사용자 에이전트(웹브라우저)로 구글 크롬(Chrome)이 아닌 크놈(Chnome)을 사용하고 있어 북한 김수키 그룹이 제작한 것으로 추정된다"며 "사용자 정보 유출과 추가 악성 코드 다운로드 등 다양한 악성 행위가 수행될 수 있으므로 사용자의 각별한 주의가 필요하다"고 강조했다.

김수키는 비트코인 등 가상화폐 5300억원을 해킹한 라자루스와 함께 북한 정찰총국에서 집중 육성하고 있는 해커 조직으로 꼽힌다. 국방, 안보, 통일, 외교 관련 전문가를 상대로 악성 파일을 보내 기밀을 탈취하는 수법을 주로 쓴다.

[이상덕 기자]