“데일리NK 입사 지원합니다”…알고 보니 북한 해킹 메일

북한 해커가 보낸 첨부파일을 열면 나타나는 화면. 상단(빨간색 박스)를 클릭하면 악성코드가 실행된다. /사진=이스트시큐리티 시큐리티대응센터 제공

입사지원서로 위장한 해킹 이메일이 발견됐다. 북한 해커의 소행으로 불특정 다수가 아닌 본지의 정보를 빼내기 위한 스피어피싱(Spear phishing)이다.

지난 25일 본지 이메일로 ‘데일리 NK 입사 희망합니다’는 제목의 메일이 도착했다.

이메일에는 “임00라고 합니다. 데일리 NK 입사를 희망합니다. 이력서와 자기소개서를 보내드립니다”는 내용이 담겨있었고 이력서가 첨부돼 있었다.

본지가 신입직원을 모집하고 있지 않은 상황에서 이력서를 보냈다는 점이 이상했다. 문서인 이력서의 용량이 371KB로 비정상적으로 크다는 점도 의심스러운 대목이었다. 여기에 문서 파일이 대용량 첨부파일로 왔다는 점도 수상했다. 발신자의 메일 서비스인 다음(Daum)은 25MB가 넘어야 대용량 파일로 첨부방식이 변경된다.

여러 의심스러운 정황들이 있어 해당 이메일을 전문가에게 분석을 의뢰했다. 그 결과 첨부파일이 악성으로 확인됐다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 27일 데일리NK에 “북한 정찰총국 소속의 해킹 조직이 보낸 이메일로 분석됐다”며 “정보 탈취를 위한 해킹 메일이다”고 전했다.

정찰총국은 북한의 해킹을 총괄하는 조직으로 내부에 라자루스(Lazarus), 탈륨(Thallium), 금성121등이 있다.

분석 결과, 이번 공격은 탈륨의 소행으로 나타났다. 탈륨은 지난해 한국원자력연구원을 공격한 김수키(Kimsuky)와 동일 조직으로 알려져 있다.

해커는 이메일에 ‘혹시 가능하시다면 제 전번이나 이메일 연락주시면 너무 감사하겠습니다’는 문구를 남겼다. 이메일에는 전화번호에 대한 내용이 없었다. 연락하기 위해서는 문서를 열어봐야 했다. 문서 열람을 유도하기 위한 해커가 치밀한 장치를 마련해둔 모습이다.

첨부된 악성 문서를 열면, 처음에는 ‘문서가 보호되었습니다’라는 문구와 함께 매크로 실행을 유도하는 화면이 나온다. 이때 상단의 ‘콘텐츠 사용’ 버튼 클릭하면 문서 내 악성 매크로가 실행돼 악성코드에 감염된다.

악성 매크로를 활용한 악성 문건 공격은 상당히 오래전부터 해커들이 단골로 이용해오던 수법이다. 그러나 피해자가 여전히 나오고 있다. 출처가 불분명한 파일의 ‘콘텐츠 사용’, ‘매크로 포함’ 등을 누르지 않는 습관을 들이는 게 중요하다.

북한 해커가 보낸 첨부파일을 열고 난 후 매크로 실행 버튼을 누르면 나타나는 화면. / 사진 = 이스트시큐리티 시큐리티대응센터 제공

또한, 해커는 사용자가 감염됐다는 사실을 인지하지 못하도록 실제 이력서 화면도 보여주면서 백그라운드에서 악성코드를 작동시킨다.

문 이사는 “악성코드가 실행되면 키로깅 코드가 호출돼 키보드 입력 내용을 수집해 탈취할 수 있다”며 “이후 공격자 의도에 따라 추가 악성 파일을 삽입해 원격제어 등도 가능한 상태가 될 수 있다”고 설명했다.

한편, 북한 해커들은 지속적으로 해킹과 피싱을 시도하고 있어 보안유지 각별한 주의를 기울여야 한다.

보안을 지키기 위해서는 지인, 전문가, 업무 관련자들의 메일도 발신 여부를 직접 확인하고 출처가 불분명한 메일은 열어보지 않는 것이 좋다. 이메일의 첨부파일, URL 실행 자제하고 개인정보나 계정 입력을 요구하면 무시해야 한다. 그리고 운영체제(OS)와 각종 인터넷 브라우져, 각종 소프트웨어, 백신은 최신 상태를 유지하면 사고 예방에 도움이 된다.

다만, 워드나 한글(HWP) 프로그램의 정상적인 기능을 이용하는 경우도 있기 때문에 가급적 문서를 열어보지 않는 것이 가장 좋은 보안을 지키는 방법이다.