임종철 디자이너 /사진=임종철 디자이너
27일 국정원이 2020~2022년 3년 간 발생한 북한 해커조직의 사이버 공격 및 피해 통계에 따르면 이들은 악성코드가 담긴 메일을 '네이버', 'NAVER고객센터', 'Daum게임담당자' 등의 발송자명으로 유포했다.
사진=국정원
이밖에도 북한 해커조직은 악성코드를 한컴 오피스 문서파일로 위장해 유포하고 있는 것으로 나타났다. 공공기관에서 한컴 오피스를 워드프로세서로 가장 많이 사용하고 있다는 점을 악용하는 것이다.
안랩 ASEC(보안대응센터)는 최근 이같은 정황을 확인하고 이용자의 주의를 당부했다. 해커조직이 유포하고 있는 악성코드 이름은 '누가, 무엇이 세계를 위협하는가(칼럼).exe'로 한컴 오피스 문서파일로 속이기 위해 아이콘을 비슷하게 제작한 것으로 파악됐다.
이 시각 인기 뉴스
사진=안랩 ASEC
2018년 안랩이 북한이 배후로 추정되는 해커조직의 한컴 오피스 문서파일 공격 기법을 분석한 결과 이들은 주 문서 내에 악성코드를 다운로드하는 '다운로더'와 원격 조정을 할 수 있는 '백도어'를 심어 유포했다.
한컴 오피스의 취약점을 이용하던 북한 해커조직은 2016년 9월 이후부터는 메모리에서만 실행되는 악성코드로 공격기법을 바꿨다. 보안 솔루션들이 행위 기반 진단 기법을 적용해 문서 파일에서 악성코드 생성하는 행위를 진단하자 이를 우회하기 위한 것이다.
안랩 관계자는 "최신 업데이트 상태를 항상 유지하고 한글 문서를 열었을 때 내부에 포함된 링크, 이미지, 동영상 등은 주의할 필요가 있다"며 "한국 사용자를 노린 공격자 입장에서 한컴 오피스를 이용한 공격은 매력적일 수 밖에 없어 앞으로도 꾸준히 공격이 진행될 것으로 보인다"고 말했다.