'시력보호 프로그램' 깔았더니 악성파일…배후엔 북한 해커

이스트시큐리티, 라자루스

유명 인터넷 포럼 자료실에 등록된 악성파일 화면/사진제공=이스트시큐리티

이스트시큐리티가 지난 22일 국내 특정 인터넷 포럼 자료실에서 유용한 프로그램으로 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다고 밝혔다.

해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록됐고, 당일 기준 약 1600여 명이 조회한 것으로 확인됐다. 악성 파일은 '시력 보호 프로그램'을 사칭하고 있으며, 현재는 삭제된 상태다.

이스트시큐리티 ESRC(시큐리티대응센터)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고, 설치 및 삭제 과정에서 악성코드가 작동된다고 분석했다.

만약 해당 자료실에 등록된 프로그램을 다운로드해 실행하게 될 경우, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있다.

이스트시큐리티측은 이번 악성 파일 공격이 북한 배후의 해커 조직인 '라자루스'(Lazarus) 그룹 소행으로 추정했다. 라자루스 그룹은 美 재무부에서 제재 대상으로 분류한 해킹 조직으로 미국에선 '히든 코브라'라는 이름으로 통용된다. 최근까지 국내외에서 활발한 사이버 위협 활동을 펼치고 있다.

국내에선 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼고 있고, 해외에선 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 위협 활동을 펼치는 특징이 있다.

지난 4월 감염병관리지원단을 사칭해 '인천광역시 코로나바이러스 대응'이라는 이메일을 배포하기도 했다. 당시 이메일에 첨부된 악성파일과 이번 사례 악성파일의 코드가 거의 비슷하게 짜여져 있다.


문종현 이스트시큐리티 ESRC센터장은 "라자루스 조직원들이 스피어 피싱 기반 APT 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 등 과감한 공격 전술을 구사하고 있다"며 "커뮤니티 이용자의 각별한 주의가 요구된다"고 말했다.