북러 정상회담을 미끼로 한 피싱 사례가 발생해 주의가 요구된다.
국내 한 북한인권단체 대표는 지난 18일 북한 관련 연구소 명의로 발송된 ‘2023-0918 김정은 방러결과’라는 제목의 이메일을 수신했다.
해당 이메일에는 “00 연구소입니다. 김러 방문 결과에 대한 글입니다”라는 간단한 문구와 함께 원드라이브 API를 이용해 첨부파일을 내려받을 수 있는 URL이 포함돼 있었다. 여기서 ‘김러 방문’은 ‘김정은 러시아 방문’의 줄임말인 것으로 보인다.
이 URL을 클릭하면 ‘2023-0918 김정은 방러결과’라는 이름의 압축파일을 다운로드할 수 있고, 그 압축파일 안에는 ‘2023-0918 김정은 방러결과.lnk’라는 파일이 들어있다. 이는 악성파일이지만, 해당 파일을 누르면 평범한 한글 문서가 실행돼 감염 사실을 파악하기 어렵다.
원드라이브 API, 압축파일, 바로가기 확장자(lnk) 파일 등을 이용한 피싱은 최근 북한 연계 해킹 조직이 주로 활용하는 전형적인 공격 수법이다. 공격자는 김정은 국무위원장의 러시아 방문이 최근 화제가 된 점을 노리고 클릭을 유도한 모습이다.
해당 이메일은 여러 명에게 배포됐는데, 주로 국내 북한인권단체 대표 메일 또는 대표자 등 관련 분야 종사자들인 것으로 확인됐다. 북한 이슈에 관심이 있는 대상들을 표적으로 해 공격을 시도한 셈이다.
해당 이메일을 전문가에게 분석 의뢰한 결과 북한 연계 해킹 조직의 소행으로 드러났다.
문종현 지니언스 시큐리티센터 센터장은 “악성파일을 분석한 결과 APT37의 공격으로 파악됐다”며 “유사한 공격이 이어지고 있어 주의가 필요하다”고 당부했다.
APT37은 정치, 군사, 정보기술(IT), 방위 산업, 핵 연구 및 기타 분야에서 중요 정보를 탈취하는 북한 배후 해킹조직으로, ‘Reaper’ 또는 ‘Group 123’으로도 알려져 있다.
과거에는 워드 문서(doc)나 한글 문서(hwp)의 매크로 기능을 이용해 공격을 시도했으나 해당 공격 패턴이 외부로 많이 알려지면서 최근에는 lnk 확장자 파일을 이용해 더 교묘하게 공격을 시도하고 있다.
문 센터장은 “악성 파일에 감염되면 컴퓨터 내부의 기본정보가 해커에게 유출되며 2차 공격에 노출될 가능성이 높다”면서 “이메일 열람이나 첨부파일을 실행할 시 주의 깊게 살필 필요가 있다”고 지적했다.
이메일을 열람할 때 발신자의 메일주소를 주의 깊게 살펴보고 의심쩍은 경우에는 발신자에게 직접 발송 여부를 확인할 필요가 있다. 특히 첨부파일이나 URL이 포함된 이메일을 받은 경우에는 더욱 주의해야 한다.
이밖에 윈도 폴더 옵션에서 확장자가 나타나도록 설정해 해당 파일의 실제 형식을 확인하는 것도 도움이 된다. 또 공격에 활용되는 lnk 파일의 경우 용량이 비정상적으로 큰 게 특징이라 파일 용량을 확인하는 것도 피싱 예방에 일조한다.
