북한이 또…'외교안보 학술회의' 사칭 北 연계 해킹 발견

PDF문서처럼 위장된 2중 확장자의 LNK 악성파일 화면. /사진=이스트시큐리티

남북 외교안보 학술회의 발제문 요청으로 위장한 북한 연계 해킹 공격이 발견됐다.

2일 이스트시큐리티는 자사 보안위협 분석 전문 조직 시큐리티 대응센터(ESRC)가 특정 연례학술회의 발제문 요청처럼 사칭해 악성 파일을 전달한 정황을 발견했다고 전했다.

이는 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 '바로가기(LNK)' 유형의 악성 파일로 확인됐다. 예컨대 '중요 자료.PDF.LNK' 파일이 있다면 LNK 확장자 부분은 윈도우 운영체제에서는 보여지지 않는다. 실제로는 '중요 자료.PDF' 파일처럼 보이는 원리를 악용한 것.

이번 공격은 국내 외교·안보·통일 분야 종사자를 겨냥한 것으로, 학술회의 및 연말 행사 참석 대상자를 타깃 삼았다. 일정 문의나 자료 요청으로 위장해 이메일로 접근하는 방식이다. 회신 등 관심을 보이면 선별 접근하는 이른바 '투-트랙 스피어 피싱(Spear Phishing)' 공격을 수행한 것으로 전해졌다.

악성 LNK 파일을 정상 PDF 파일로 교체하는 명령 화면. /사진=이스트시큐리티

해당 LNK 파일은 PDF문서처럼 보이나 실제로는 실행 대상 명령어에 'mshta.exe' 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 은밀히 통신을 시도하는 명령이 포함돼 있다. ESRC는 "새로 식별된 거점 서버는 지속적으로 발견되는 '웹 프리 호스팅' 도메인으로 생성됐다"며 "유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나"라고 설명했다.

문종현 ESRC센터장(이사)는 "우리나라는 북한 배후 및 소행으로 지목된 사이버 안보 위협이 일상화 된지 오래됐고 정치 사회적 이슈나 혼란을 틈타 공격을 감행하는 것을 명심해야 한다"며 "연말연시 들뜬 분위기를 노린 경우와 송년회, 학술대회 등의 사칭 공격에 각별한 주의가 필요하다"고 당부했다.