“MS 보안팀입니다”...첨부 파일 열었더니 PC 통째로 뚫려

챗GPT 생성 이미지

마이크로소프트(MS) 보안팀을 사칭한 이메일을 통해 한국 사용자들의 PC를 감염시키는 신종 악성코드가 발견돼 주의가 요구된다. 보안업계는 이번 공격이 북한 연계 해킹조직의 소행일 가능성에 무게를 두고 있다.

15일 보안기업 지니언스에 따르면 최근 북한 연계 해킹조직 APT37이 배후로 의심되는 원격제어 악성코드(RAT) '나왈랫(NarwhalRAT)'이 국내 사용자를 대상으로 유포되고 있는 것으로 확인됐다.

공격은 "MS 계정에서 일회용 인증코드(OTP)가 반복 생성되고 있다"는 내용의 이메일로 시작된다. 발신자명은 'Microsoft 계정 팀'으로 표시되지만 실제 발신 주소는 공식 마이크로소프트 도메인이 아닌 것으로 조사됐다.

이메일은 계정 탈취 가능성을 경고하며 첨부된 보안 안내문 확인을 유도한다. 사용자가 압축파일을 해제한 뒤 한글 문서로 위장한 바로가기(.lnk) 파일을 실행하면 정상 문서가 열리는 동시에 악성코드가 PC에 설치되는 방식이다.

지니언스는 악성코드가 설치 과정에서 'naverwhale'이라는 이름의 폴더를 생성하는 점에 주목해 이를 'NarwhalRAT'으로 명명했다. 국내 이용자가 많은 네이버 웨일 브라우저를 연상시키는 이름을 사용해 보안 탐지를 회피하려 한 것으로 분석된다.

악성코드 내부에는 카카오톡 관련 창을 별도로 분류해 정보를 수집하는 기능도 포함된 것으로 확인됐다. 한국 사용자의 PC 환경을 고려해 설계된 정황이라는 설명이다.

지니언스 분석 공격 흐름도. 지니언스 제공

나왈랫은 키보드 입력 기록을 훔치는 키로깅 기능을 비롯해 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등 30종 이상의 기능을 수행할 수 있다. 공격자는 이를 통해 피해자의 활동 내역과 계정 정보, 업무 자료 등을 실시간으로 파악할 수 있다.

특히 수집된 정보는 즉시 외부로 전송하지 않고 PC 내부에 임시 저장한 뒤 한꺼번에 전송하는 방식을 사용한다. 네트워크 기반 보안 솔루션의 탐지를 피하기 위한 전략으로 풀이된다.

지니언스는 이번 공격이 지난해 공개된 APT37의 파이썬 기반 백도어 공격과 높은 유사성을 보인다고 분석했다. 악성 문서 저장자명, 바로가기 파일 구조, 배치파일 난독화 기법, 작업 스케줄러를 활용한 지속성 확보 방식 등이 상당 부분 일치했다는 설명이다.

보안업계는 공격자가 특정 개인이나 기관을 겨냥해 맞춤형 이메일을 보내는 스피어피싱 기법을 활용하고 있는 만큼 출처가 불분명한 첨부파일 실행을 자제해야 한다고 강조한다.

지니언스는 "향후 유사한 변종 악성코드가 지속적으로 등장할 가능성이 높다"며 "파일 탐지뿐 아니라 비정상 행위를 감시하는 행위 기반 보안체계를 강화할 필요가 있다"고 밝혔다.

정재홍 기자 hongj@joongang.co.kr