"코인거래소 파일 열었더니"…北이 보낸 악성 코드
안랩 "첨부파일 열 때 주의"
북한 해커 조직 '김수키(Kimsuky)'가 코인 거래소로 속여 악성 코드를 유포하고 있는 것으로 나타났다.
20일 안랩에 따르면 김수키는 코인 관련 내용으로 위장한 악성 코드를 실행 파일 또는 워드 문서 형태로 유포 중이다. 악성 코드는 '위**월렛 자금 자동 인출.docx' '위**팀-월렛 해킹 공통점.docx' '20230717_030190045911.pdf' 등으로 파악됐다. 안랩은 "이들 문서는 아이콘이 워드나 PDF 파일 형태를 띠고 있어 정상 문서처럼 보인다"고 설명했다. 사용자가 파일을 열면 코인 거래소의 문서나 자산 보고서인 것처럼 보인다. 하지만 김수키는 웹 주소인 URL에 존재하는 악성 스크립트 코드가 실행되도록 했다. 그만큼 사용자 개인정보가 유출될 위험이 크다. 특히 문서는 '자산 운용 보고서' 등 정상적인 보고서처럼 위장해 진짜 문서인지 분간하기 어렵게 했다.
안랩은 "이 악성 코드는 사용자 에이전트(웹브라우저)로 구글 크롬(Chrome)이 아닌 크놈(Chnome)을 사용하고 있어 북한 김수키 그룹이 제작한 것으로 추정된다"며 "사용자 정보 유출과 추가 악성 코드 다운로드 등 다양한 악성 행위가 수행될 수 있으므로 사용자의 각별한 주의가 필요하다"고 강조했다.
김수키는 비트코인 등 가상화폐 5300억원을 해킹한 라자루스와 함께 북한 정찰총국에서 집중 육성하고 있는 해커 조직으로 꼽힌다. 국방, 안보, 통일, 외교 관련 전문가를 상대로 악성 파일을 보내 기밀을 탈취하는 수법을 주로 쓴다.
[이상덕 기자]
Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지
- “한번 하는데 500만원 줬다”…20대女 몸속서 발견된 이 놈의 정체 - 매일경제
- “이러다 한국에 다 뺏길라”…한효주에 난리난 일본, 무슨일이 - 매일경제
- 노래방서 성관계 거절당한 30대 여성…맥주병으로 연인 무차별 폭행 - 매일경제
- “남편도 잘 샀다고 칭찬해요”…덮는 순간 오싹, 폭염 식혀준 이것 - 매일경제
- [단독] “이재명 비서들 점조직으로 움직여…명절선물·집안제사도 세금 처리” - 매일경제
- [속보] “우크라 드론 공격에 러 모스크바 내 주요 공항 일시 폐쇄” - 매일경제
- 188,000,000,000,000 받은 사람들…1%는 1000억원씩 냈다 - 매일경제
- [단독] 서울 노른자위 용산마저도…키움證 500억 ‘브리지론 디폴트’ - 매일경제
- 매경이 전하는 세상의 지식 (매-세-지, 8월 22일) - 매일경제
- 월드컵 우승에 기뻐서? 女 선수에 기습 키스한 스페인 축협회장 결국 사과 - MK스포츠