"인민군 장병들에게.hwp" 진화하는 악성 메일…'이 것' 살펴라

"압축파일 속 바로가기 확장자 파일 주의"

지난 3월8일 '러시아 전장에 파병된 인민군 장병들에게.hwp'라는 제목으로 발송된 악성 이메일./사진제공=지니언스

북한 해킹조직 'APT37'발로 추정되는 악성 이메일이 대북 활동가들을 겨냥해 유포된 것으로 나타났다.

지니언스는 이 같은 내용의 '한국 국가안보전략 싱크탱크 위장 APT37 공격 사례 분석' 보고서를 12일 자사 블로그에 공개했다.

지니언스에 따르면 APT37은 지난 3월8일 '러시아 전장에 파병된 인민군 장병들에게.hwp'라는 제목의 이메일을 발송했다.

같은 달 11일에는 한국 싱크탱크를 사칭해 국가안보전략 학술회의 개최 안내문으로 꾸며낸 이메일을 보낸 것으로 조사됐다.

두 이메일 본문에는 네이버 메일 서비스로 발송한 것과 닮은 첨부파일 다운로드 버튼이 삽입됐다. 이 버튼을 누르면 네이버가 아닌 드롭박스 다운로드 페이지로 연결돼 압축파일을 내려받게 된다.

압축파일들은 공통적으로 바로가기(.lnk) 파일이 포함됐다. 바로가기 파일을 실행하면 악성코드가 활성화돼 정보 유출 등 각종 침해사고가 발생할 수 있다.

지니언스는 "위협 행위자들이 드롭박스 등 합법적인 클라우드 서비스에 가입해 공격 지령 수단으로 악용하고 있다"며 "이메일에 첨부된 압축파일을 내려받은 후 압축파일 내부에 존재하는 파일이 바로가기 확장자라면, 절대 접근하지 말아야 한다"고 밝혔다.

성시호 기자 shsung@mt.co.kr