북한 연계 해킹조직, 이미지 파일에 악성코드 숨겨 유포

북한 해킹 조직 이미지 파일. 챗GPT 생성

북한과 연계된 해킹조직 'APT37'이 이미지 파일에 악성코드를 숨겨 유포하는 등 사이버 공격 수법을 한층 정교화하고 있는 것으로 나타났다.

4일 사이버 보안 기업 지니언스가 발표한 위험분석보고서에 따르면, APT37은 최근 악성 바로가기(.lnk) 파일과 '스테가노그래피'(Steganography, 정보 은닉기술)를 활용한 공격을 시도한 정황이 포착됐다.

지니언스는 APT37이 '국가정보와 방첩 원고.zip'이라는 이름의 압축 파일을 통해 악성코드를 유포했다고 설명했다. 해당 압축파일 안에는 '국가정보와 방첩 원고.lnk' 파일이 포함돼 있었으며, 약 54MB에 달하는 이 파일은 미끼용 정상 문서와 함께 셸코드 등의 악성코드를 숨겨 놓고 있어 크기가 비정상적으로 컸다. 사용자가 해당 파일을 실행하면 외부에서 정보를 탈취하는 악성코드가 자동으로 내려받아 실행되는 방식이다.

또 다른 공격에서는 스테가노그래피 기법을 이용해 JPEG 이미지 포맷 안에 악성코드를 삽입하는 수법이 확인됐다. 이런 유형의 악성코드는 일반적인 백신 프로그램이나 보안 시스템으로는 탐지와 차단이 어려울 만큼 정교하게 설계됐다는 게 보안 업계의 설명이다.

지니언스는 "이메일이나 메신저 등으로 전달받은 압축파일 안에 바로가기(.lnk) 파일이 포함돼 있다면, 상당히 높은 확률로 악성코드일 가능성이 있다"며 "보안 관리자들은 최신 위협의 유입 경로와 파일 확장자 개념, 아이콘의 고유 특징 등을 숙지해야 한다"고 강조했다.

정재홍 기자 hongj@joongang.co.kr