북한 해킹조직이 NGO 대표, 방송사 작가 등으로 속여 악성코드를 유포하는 것으로 나타났다. 전문가들은 해킹을 예방하기 위해 운영체제(OS)와 주요 프로그램을 최신 버전으로 업데이트할 것을 권고하고 있다.
지난 17일 본지 기자는 ‘월간 OO지에 공유할 자료입니다’라는 제목의 이메일을 수신했다.
이메일에는 ‘북한 시장 물가 분석자료 공유합니다. OO연구소 소장 OOO 드림’이라는 내용과 ‘조선 사정 물가 분석(신의주).hwp’, ’조선 시장 물가 분석(회령),hwp’이라는 첨부파일이 담겨 있었다.
전문가에게 분석을 의뢰한 결과 첨부파일에는 모두 악성코드가 담겨 있었으며, 이는 ‘금성121’, ‘레드아이즈’(RedEyes), ‘그룹123’, ‘리퍼’(Reaper) 등으로 불리는 북한 해킹조직 APT37의 소행으로 확인됐다.
문종현 지니언스 시큐리티 센터(GSC) 이사는 “APT37 공격그룹은 지난해 이태원 참사와 관련된 DOC 공문서로 위장해 CVE-2022-41128 취약점 공격을 수행한 바 있다”며 “이번에도 유사 방식의 취약점 공격을 활용했지만, DOC 문서에서 HWP 문서 유형으로 교체했고 문서 내부에 악성 OLE를 삽입해 취약점 코드가 호출되는 방식으로 변경했다”고 설명했다.
CVE-2022-41128 취약점 공격은 서비스가 종료된 인터넷 익스플로러(IE) 제로데이(소프트웨어의 공급업체에 아직 알려지지 않은 취약점) 공격의 하나로, 북한은 IE 지원이 종료된 후 MS 오피스를 통해 해당 취약점을 공격에 이용했다. MS 오피스에서 스크립트가 실행될 때 자동으로 인터넷 익스플로러에 연결되는 취약점을 악용한 것이다.
다만 이번에는 MS 오피스가 아닌 한글(HWP)을 사용됐다는 점에서 차이가 있다는 게 전문가의 설명이다.
문 이사는 “메일에서 다운로드한 문서에서 편집을 위해 클릭하라는 등의 메시지가 나오면 해킹 유도일 수 있으니 바로 창을 종료해야 한다”며 “악성코드가 작동하지 않도록 운영체제와 응용프로그램, 한컴오피스 프로그램을 항시 최신 버전으로 업데이트하는 일도 중요하다”고 말했다.
특히 IE는 2022년 6월 15일부로 공식적으로 지원이 종료돼 더 이상 보안 패치를 받을 수 없다. IE를 계속해서 사용하면 보안 위협에 노출될 가능성이 높으니, 윈도우 운영체제를 최신 버전으로 업데이트 하거나 IE를 삭제하고 마이크로소프트 엣지 등 다른 웹브라우저를 사용하는 것이 좋다고 전문가들은 권고한다.
한편, 지난 17일 ‘북한시장 물가분석자료 공유합니다’라는 제목의 피싱 메일이 탈북민에게도 발송된 것으로 확인됐다.
해당 이메일의 발신자는 한 방송사의 작가 이름을 사칭하면서 이메일 주소를 교묘히 조작했다. 평소 친분이 있는 사람으로 위장해 공격 대상자를 속이려 한 것이다.
해당 이메일에는 ‘조선 사정 물가 분석(신의주).hwp’, ’조선 시장 물가 분석(회령),hwp‘이라는 첨부파일이 담겨 있었는데, 역시 전문가에게 분석을 의뢰한 결과 해당 파일은 앞서 본지 기자가 받은 것과 동일한 악성파일로 밝혀졌다.
북한 해킹조직이 같은 파일을 이용해 여러 사람에게 일제히 공격을 시도한 만큼 해킹 피해에 대한 주의가 요구된다.
