윈도우 바로가기 확장자 파일을 이용한 북한인권 관련 단체 겨냥 피싱 공격이 지속되고 있어 주의가 요구된다. 전문가들은 피싱 수법이 교묘하게 진화하고 있어 보안에 각별히 유의해야 한다고 당부하고 있다.
실제 지난 19일 북한 인권 NGO를 사칭한 피싱 메일이 배포됐다. 해당 메일에는 한 북한인권 NGO 대표의 강의안을 보내드린다는 내용과 함께 압축파일 링크가 포함돼 있었다.
링크는 클릭하면 압축파일이 다운로드 되고, 이를 풀면 ‘북한인권과청년의역할.pptx’, ‘북한인권과청년의역할.pdf.lnk’이라는 이름의 파일이 나오는데, 이 중 두 번째 파일이 바로가기 확장자 파일(lnk)를 이용한 악성파일이다.
전문가에게 이번 피싱 메일에 대한 분석을 의뢰한 결과, APT37로 알려진 북한 연계 해킹 조직이 사용하는 악성코드와 같은 것으로 나타났다. 원드라이브 링크, 압축파일과 바로가기 확장자 파일을 이용한 공격은 최근 APT37이 즐겨 사용하는 수법이다.
APT37은 금성121, 스카크러프트, 레드 아이즈, 그룹123 등 다양한 이름으로 불리는 북한 연계 해킹 조직이다.
악성파일을 실행하면 해커가 미리 준비해 둔 pdf 파일이 실행된다. 사용자가 해킹을 당했다는 사실을 인지하지 못하게 하기 위한 눈속임용 파일인 셈이다. 악성파일이 실행되면 컴퓨터 정보와 문서가 탈취되며 추가 악성코드가 실행돼 원격제어나 키로깅 피해를 볼 수 있다.
최근 북한 연계 해킹 조직들은 MS가 오피스 문건들의 매크로 기능을 차단하기 시작하자 lnk 파일을 활용해 공격을 시도하고 있다.
기존 공격은 최신 보안 패치가 돼 있으면 작동하지 않았고, 매크로 버튼을 사용자가 누르도록 추가 행동까지 유도해야 했다. 그러나 lnk 파일을 이용한 공격은 보안패치와 무관하고 사용자가 한번 누르면 바로 작동하기 때문에 공격 성공률이 더욱 높은 것으로 파악된다. 특히 lnk 파일은 모든 유형의 파일로 아이콘을 변경할 수 있어 해커 입장에서 매우 효과적인 공격 수단이 된다.
정상적인 파일로 보여도 실제로는 각종 악성 스크립트가 포함된 파일일 수 있으니 실행하기 전 확장자를 반드시 확인하고, lnk 파일인 경우 실행하지 않는 편이 좋다. 확장자가 보이지 않으면 윈도우 탐색기의 ‘폴더 옵션’ 설정에 들어가 ‘알려진 파일 형식의 파일 확장자명 숨기기’ 체크를 풀어주면 된다.
lnk 파일은 아이콘 왼쪽 하단에 조그맣게 화살표 모양의 표시가 있다는 특징이 있다. 또 악성파일의 경우 파일 크기가 비정상적으로 크다는 특징도 있디.
문종현 지니언스 이사는 “한글파일을 위장한 악성 링크 파일의 경우 아이콘 하단에 화살표가 표시되는 등 일반적인 형태는 아니다”며 “아이콘의 모양이나 비정상적인 파일의 크기 등 사소한 차이를 보고 의심하는 시선이 필요하다”고 말했다.