北 해커조직, ‘포럼 사회자 요청’ 메일로 본지 해킹 공격 시도

kimsuky
북한 해커조직 김수키가 본지에 보낸 이메일 화면. /사진=데일리NK

북한의 대표적인 해킹 조직 중 하나인 김수키(Kimsuky)가 최근 본지를 대상으로 사이버 공격을 시도했다. 특히 실제인물과 단체를 사칭해 교묘하게 악성파일을 열어보도록 유도하는 전형적인 피싱(Phishing) 수법을 사용했다.

해커는 지난 2일 본지 대표메일로 ‘제32회 전문가정책포럼에 사회자로 모십니다’는 제목의 이메일을 보냈다. 이메일에는 “이상용 국장님, 안녕하세요. 0000000연구원 000이사장 입니다. 코로나 시대에 잘 견디고 계시지요? 나도 잘 있습니다”라며 본지 편집국장과의 친분이 있는 듯한 내용이 담겨 있다.

그러나 확인 결과, 해당 기관과 인물은 실존했지만 본지 편집국장과는 교류가 없는 사이로 나타났다.

대표메일을 편집국장이 직접 확인하지 않고 실무자가 확인할 것이라 생각하고 서두에 친분을 내세운 것으로 보인다. 실무자가 해당 인물과 편집국장이 밀접한 관계가 있다고 믿게해 이메일에 대한 신뢰도를 높이려는 심리적 장치로 보인다.

이메일에는 “우리 연구원에서 7월 30일 ‘남북한 군비경쟁 및 군비통제와 한반도 평화프로세스’라는 주제로 제32회 전문가정책포럼을 진행하려고 합니다. 첨부파일은 초청장인데 시간이 되시면 참석해 주시면 감사하겠습니다. 내일까지 확인부탁합니다”는 내용도 있다.

이는 첨부된 ‘제32회 전문가 정책포럼 사회자 초청장.doc’ 파일 열람을 유도해 악성코드를 실행시키려는 해커의 전략이다.

해커가 보낸 첨부파일을 실행하면 매크로 보안경고창이 뜬다. ‘콘텐츠사용’ 버튼을 누르면 악성코드에 감염된다. / 사진=이스트시큐리티 ESRC 제공

이에 본지가 직접 첨부 파일을 전문가에게 분석을 의뢰한 결과, 북한 해커조직이 만든 문서로 보인다는 전문가의 의견이 나왔다.

문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 7일 데일리NK에 “해당 문서는 doc(MS 워드) 매크로 기능을 이용한 악성파일”이라면서 “김수키가 최근 유사 공격에서 사용했던 코드와 일치하는 부분이 확인됐다”고 말했다.

김수키는 지난 2014년 한국수력원자력을 공격한 바 있으며 당시 합동수사본부는 이들의 배후에 북한이 있다고 발표한 바 있다.

문 이사는 “문서를 열면 매크로 콘텐츠 사용 버튼이 나타나는데 이를 누르면 해커가 미리 설정해둔 C2(명령제어)서버에서 악성코드가 자동 다운로드돼 백그라운드에서 실행된다”며 “doc 문서를 열었을 때 매크로 유도창이 나오면 매우 신중해야 한다”고 당부했다.

특히 문 이사는 “doc 문서의 매크로 기능을 활용한 공격은 프로그램 취약점을 이용한 공격이 아니다”면서 “이 때문에 MS오피스 최신 버전을 사용한다고 해서 악성코드로부터 안전한 것은 아니다”고 설명했다.

해커들은 각종 프로그램의 취약점을 이용해 해킹을 자주 시도한다. 이런 프로그램 취약점은 최신버전 제품을 사용할 경우 작동하지 않는다. 그렇지만 MS오피스의 매크로를 이용한 공격은 정상적인 기능을 활용했기 때문에 최신버전에도 작동한다는 이야기이다.

이어, 문 이사는 “MS오피스의 매크로를 이용해 문서를 만드는 경우가 종종 있어 매크로 보안 경고창이 뜬다고 반드시 악성코드라고는 할 수 없다”면서 “그렇지만 최근 doc 문서기반 매크로 공격이 눈에 띄게 증가하고 있어 보안의식을 가지고 조심할 필요가 있다”고 덧붙였다.

이와관련, MS워드에서 파일메뉴를 선택한 후 ‘옵션’, ‘보안센터’, ‘보안 센터 설정’ 순으로 들어가 ‘모든 매크로 제외’로 설정해두면 악성코드 예방에 도움이 된다.

MS워드에서 ‘모든 매크로 제외’로 설정하면 악성코드 실행을 방지할 수 있다. /사진=이스트시큐리티 ESRC 제공