'MS 보안팀' 사칭해 침투…클릭한 순간 PC 다 털린다

북한 연계 해킹조직 신종 악성코드 '나왈랫' 국내 유포
네이버 웨일 위장해 회피…철저한 한국 겨냥 해킹 수법

지니언스 분석 공격 흐름도. 지니언스 제공

마이크로소프트(MS) 보안팀을 사칭한 이메일로 국내 사용자들의 PC에 침투하는 신종 악성코드가 발견돼 각별한 주의가 요구된다.

북한 연계 해킹조직의 소행으로 강력히 의심되는 이 악성코드는 키보드 입력 기록 탈취부터 마이크 녹음까지 30종이 넘는 원격 제어 기능을 갖추어 피해자의 시스템을 완전히 장악할 수 있는 것으로 드러났다.

15일 국내 보안 기업 지니언스에 따르면, 최근 북한 연계 사이버 해킹조직 'APT37'의 소행으로 추정되는 신종 악성코드 '나왈랫(NarwhalRAT)'이 국내 사용자를 표적 삼아 급격히 유포되고 있다.

이번 공격은 "귀하의 MS 계정에서 일회용 인증코드(OTP)가 반복적으로 생성되는 이상 징후가 감지됐다"는 내용의 정교한 스피어피싱(구체적인 표적을 노린 이메일 해킹) 기법으로 시작됐다.

이메일 발신자명은 'Microsoft 계정 팀'으로 교묘하게 표시돼 있으나, 실제 발신 도메인을 추적한 결과 MS 공식 도메인이 아닌 위조된 주소인 것으로 확인됐다.

해당 메일은 계정 탈취 가능성을 경고하며 첨부된 보안 안내문 확인을 유도한다.

피해자가 압축 파일을 해제하면 한글 문서(.hwp)처럼 위장한 악성 바로가기(.lnk) 파일이 나타난다. 이를 실행하는 순간 화면에는 정상적인 안내 문서가 출력되지만, 백그라운드에서는 악성코드가 자동으로 다운로드 및 설치되는 구조다.

지니언스는 이 악성코드가 설치된 후 컴퓨터 내부에 'naverwhale(네이버웨일)'이라는 폴더를 작업 디렉터리로 생성한다는 점에 착안해, 일각고래를 뜻하는 'Narwhal'과 아나그램(문자 재배열)을 결합해 '나왈랫(NarwhalRAT)'이라는 이름을 붙였다.

보안업계는 해커들이 국내에서 대중적으로 쓰이는 네이버의 '웨일 브라우저' 폴더로 위장해 보안 프로그램의 탐지를 피하려 한 것으로 보고 있다.

실제로 내부 코드 분석 결과, 국내 메신저인 '카카오톡'의 알림창이나 보조창 등 불필요한 정보 수집 대상을 따로 걸러내 해커가 원하는 데이터의 정확도를 높이는 전용 로직까지 포함된 것으로 밝혀졌다.

나왈랫의 파괴력은 막강하다.

공격자의 원격 명령에 따라 ▲키보드 입력 실시간 기록(키로깅) ▲화면 캡처 ▲PC 마이크를 통한 주변 음성 녹음 ▲USB 저장장치 내 파일 탈취 ▲원격 명령 실행 등 30여 가지의 기능을 선택적으로 수행할 수 있다.

사실상 피해자가 어떤 프로그램을 쓰고 어떤 웹사이트에 접속하는지 실시간으로 들여다볼 수 있는 셈이다.

특히 수집된 데이터는 실시간 네트워크 탐지 시스템을 우회하기 위해 일단 작업 폴더에 임시로 저장된 후, 특정 시간에 일괄 전송되는 치밀함도 보였다.

지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어(시스템에 몰래 침입하기 위한 뒷문) 공격 사례와 매우 유사하다고 밝혔다.

스피어피싱 메일에 쓰인 미끼 문서의 최종 저장자명이 'Lailey'로 일치할 뿐만 아니라, 악성 바로가기 파일의 구조, 배치파일 난독화 수법, 작업 스케줄러를 활용해 좀비 PC 상태를 지속시키는 방식 등이 닮았다는 설명이다.

지니언스 관계자는 "이번에 발견된 나왈랫은 한국 사용자 맞춤형으로 제작되어 정교하게 침투하는 만큼 피해가 커질 수 있다"고 경고했다.

이어 "향후 유사한 변종 형태로 지속해서 활용될 가능성이 매우 높은 만큼, 단순한 파일 기반 탐지를 넘어 시스템 내 수상한 움직임을 잡아내는 행위 기반 탐지 체계를 시급히 강화해야 한다"고 당부했다.

김미지 기자 unknown@kyeonggi.com