“MS 계정 경고 메일인 줄 알았는데”…첨부파일 열었더니 PC 원격 장악

마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드가 발견됐습니다.

오늘(15일) 국내 보안 기업 지니언스는 “‘MS 계정에서 일회용 인증코드(OTP)가 반복 생성되는 이상 징후가 감지됐다’는 이메일로 ‘나왈랫’(NarwhalRAT) 설치로 이어지는 첨부파일 실행을 유도하는 공격이 잇따르고 있다”고 밝혔습니다.

나왈랫은 북한 연계 해킹조직 APT37의 소행으로 의심되는 악성코드입니다. 감염될 경우 공격자는 파일 업로드 및 다운로드, 마이크 녹음 등 다양한 기능을 원격으로 제어하고 피해자의 키보드 입력 기록을 수집할 수 있습니다.

지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례와 구조·수법 면에서 높은 유사성을 보인다고 분석했습니다.

피싱에 쓰인 미끼 문서의 최종 저장자명이 ‘Lailey’로 동일하고, 악성 바로가기 파일 구조와 배치파일 난독화 방식, 작업 스케줄러 기반 지속성 확보 등 상당 부분이 일치했다는 설명입니다.

지니언스는 “향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 악성코드 파일 탐지와 함께 비정상적인 실행 등을 감시하는 행위 기반 탐지 체계를 강화해야 한다”고 권고했습니다.

[사진 출처 : 연합뉴스]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 유튜브, 네이버에서도 KBS뉴스를 구독해주세요!

강수연 기자 (kite@kbs.co.kr)