북한 해킹조직 ‘라자루스’(Lazarus)가 보안 기능이 뛰어나다고 평가되는 유명 메신저로 악성코드를 유포하는 것으로 전해졌다. 사용자들이 해당 메신저 프로그램의 보안성을 신뢰하고 있다는 점을 노린 것으로 보인다.
이스트시큐리티 시큐리티대응센터(ESRC)는 23일 보도자료를 통해 “라자루스 그룹이 제작한 것으로 추정되는 악성 파일이 발견됐다”며 “악성 파일은 ‘연인심리테스트.xls’라는 엑셀(Excel) 문서 형식과 ‘Album.app’이라는 맥(Mac) 기반 응용 프로그램”이라고 말했다.
해커가 보낸 엑셀 문서를 실행하면 한글로 된 질문 화면이 나타나 마치 정상 파일인 것처럼 보인다. 그러나 보이지 않는 이면에 해커가 만든 악성코드가 작동해 사용자의 정보가 미리 설정해둔 서버로 전송된다. 이는 사용자에게 감염 여부를 들키지 않고 지속해서 정보를 탈취하는 해커들의 전략 중 하나다.
최근 라자루스는 이런 악성 파일을 ‘텔레그램’(Telegram) 메신저를 이용해 은밀히 유포하고 있다. 텔레그램은 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않아 사생활을 중시하는 사람들 사이에 보안성이 뛰어나다는 평가를 받고 있다. 해커는 사람들의 이 같은 인식을 역이용해 해당 메신저로 악성 파일 보내고 실행을 유도하고 있다.
텔레그램은 메시지 내용을 탈취당하지 않도록 하는 측면에서 보안성이 강하지만, 메시지에 담긴 첨부파일 자체에 악성 파일이 포함돼 있는지는 가려내지 못하는 것으로 알려졌다. 이에 해커들은 향후 텔레그램 이외에 다른 보안 메신저를 이용해 악성 프로그램을 유포할 가능성도 있다.
특히 이번에는 매킨토시 운영체제(OS)에서 작동하는 악성 파일도 발견됐다. 다양한 컴퓨터 OS에 대응해 맞춤형 해킹을 시도하려는 움직임으로 보인다.
ESRC는 “악성 파일은 윈도우(Windows)와 맥 운영체제에서 동작하는 각각의 파일로 제작됐다”며 “라자루스 그룹이 멀티플랫폼 기반의 위협을 본격화하는 것으로 보인다”고 설명했다.
해커들은 상대적으로 사용자가 많은 윈도우 기반 기기를 주로 공격하기 때문에 맥 기반 기기에서 작동하는 악성코드는 매우 드물게 발견되고 있다. 실제로 맥은 윈도우에 비해 보안성이 뛰어나다는 평가를 받고 있으나, 최근 맥 운영체제에서 작동하는 악성코드가 꾸준히 나오고 있어 맥 이용자들의 주의가 필요하다.
전문가들은 악성 프로그램을 예방하기 위해서는 사용자들이 신뢰할 수 없는 출처의 알 수 없는 파일을 다운로드하거나 URL을 클릭하지 않아야 한다고 강조하고 있다.
문종현 ESRC 이사는 “이메일이나 메신저를 통해 무심코 전달받은 미끼 파일에 노출되면 그 즉시 PC가 악성코드에 감염된다”며 “봇(Bot) 에 의해 각종 정보가 탈취되는 동시에 해커의 원격제어, 추가 악성 파일 설치 등 예기치 못한 피해로 이어져 컴퓨터가 좀비 PC화 된다”고 말했다.
아울러 문 이사는 “이번 공격은 지난 6월에 암호화폐 사용자를 대상으로 했던 공격과 연관성이 매우 높다”며 “윈도우와 맥 OS 등 멀티플랫폼에 대한 공격 가능성이 증대된 만큼, 기업과 기관은 물론 개인 사용자도 메신저 등에서 받은 파일을 열어볼 때 각별히 주의를 기울일 필요가 있다”고 당부했다.
