보안전문기업 하우리(대표 김희천)는 북한의 동해위성 발사대 건설과 관련 이메일을 통한 악성코드가 발견됐다고 10일 밝혔다.
하우리는 해당 악성코드에 대해 북한의 정세와 안보 등의 변화를 예의주시하고 있는 특정조직이나 국가기관에게 북한의 동해위성 발사대 건설과 관련한 메일 내용을 발송한 것으로 추정된다고 말했다.
해당 메일의 첨부파일에는 정상문서가 포함된 악성코드가 포함됐고 해킹메일을 수신한 사용자는 아무런 의심없이 첨부파일을 열람해 악성코드에 감염이 이뤄졌을 것으로 보인다.
사용자가 악성코드에 감염이 되었을 경우 북한의 동해위성 발사대 건설의 시작을 재개했다는 내용의 정상 영문문서(.doc)가 사용자에게 출력된다. 이 문서에는 북한의 무수단리 동해위성 발사대 시설 확장과 관련된 사진이 포함돼 있다.
또한 이 악성코드에 감염된 경우 정상문서가 보여짐과 동시에 백그라운드에서는 악성코드가 생성되고 감염된 PC의 논리 드라이브 정보와 현재 시스템에서 실행되고 있는 프로세스에 대한 정보를 압축해 특정 게시판에 게시물로 등록된다는 게 회사 측의 설명이다.
김정수 하우리 보안대응센터장은 “APT 공격용 악성코드이기 때문에 특정조직이나 국가기관으로 발송됐을 것으로 판단된다”며 “해당 악성코드 감염시 시스템환경 정보를 유출함으로서 조직내부에서 사용하고 있는 특정프로그램과 프로그램 설치경로를 파악할 수 있다. 이는 제2의 해킹공격 사전정보로 활용될 가능성이 높다”고 말했다.
