메신저 피싱공격 펼치는 北…물가분석 자료로 '위장'

[이데일리 김가은 기자] 북한의 해킹 수법이 점점 교묘해지고 있다. 이메일을 넘어 사용자의 모바일 메신저를 통해 악성 문서를 보내는 ‘피싱’ 공격을 펼치고 있는 상황이다.

3일 지니언스 시큐리티 센터(GSC) 위협 분석 보고서에 따르면 북한 해킹 조직 ‘APT37’은 지난해 5월부터 11월까지 ‘북한 시장 물가 분석 문서’ 등으로 위장한 공격을 수행했다. 국내에서 주로 사용하는 HWP, HWPX 등 한글과컴퓨터 문서 파일에 악성코드를 심어 대북 종사자들에게 유포했다.

북한 시장 물가 분석자료로 위장된 해킹 메일 화면(사진=지니언스 시큐리티 센터)

눈여겨볼 점은 악성 문서를 유포한 방식이다. 공격자는 먼저 ‘조선 시장 물가 분석(회령)’, ‘조선 시장 물가 분석(신의주)’라는 제목의 악성 문서가 첨부된 이메일을 특정 인물에게 보내 사용자 PC를 원격으로 제어할 수 있는 환경을 만들었다.

이후 로그인이 돼 있는 PC용 모바일 메신저를 활용하거나, 키보드로 입력하는 비밀번호 데이터를 가로채는 ‘키로거’ 악성코드로 계정 정보를 탈취했다. 이 같은 방식으로 공격자는 피해자 주변 지인들에게 악성 문서를 보내 2차 공격을 가한 것으로 분석됐다. 평소 알고 지내던 지인으로 위장해 신뢰도를 높이고, 의심을 피하기 위한 의도다. 지난해 10월 17일 발견된 악성 엑셀 파일 또한 PC용 모바일 메신저를 통로로 일대일 대화 또는 단체 대화방에 유포됐다.

모바일 메신저로 악성 문서가 전송된 화면(사진=지니언스 시큐리티 센터)

해당 악성 엑셀 파일은 코로나19와 북한 시장 관련 내용으로 위장하고 있다. 문서를 실행하면 ‘액티브X(ActiveX) 콘텐츠 사용’ 경고창이 나타나고, 사용자가 ‘콘텐츠 사용’ 버튼을 클릭할 경우 악성코드가 실행되는 구조다.

악성코드가 실행되고 나면 공격자가 운영하는 ‘명령제어 서버(C2)’로 PC가 연결된다. 쉽게 말해, 악성 문서를 받아 실행하는 피해자가 많아질 수록 공격자가 추가 공격을 가할 수 있는 통로가 많아진다는 의미다.

악성 엑셀 문서가 실행된 화면(사진=지니언스 시큐리티 센터)

그간 사용자 정보 탈취·PC 원격 제어를 목적으로 하는 피싱 공격은 주로 이메일을 기반으로 이뤄져왔다. 그러나 지난 2022년을 기점으로 카카오톡 등 국내 사용자가 많은 모바일 메신저까지 활용되고 있다.

2022년 10월 말 APT37은 북한 분야 전문가들이 가입된 특정 모바일 메신저 단체 대화방을 통해 악성 문서를 유포한 바 있다. 이는 인터넷 익스플로러(IE)에서 발견되지 않았던 새로운 취약점을 악용한 기법이었다.

이후 지난해 10월 이태원 참사 사고 당시 ‘용산 이태원 사고 대처상황’이라는 공문서 사칭 악성 문서가 모바일 메신저로 유포되기도 했다.

문종현 GSC 센터장은 “최근 공격자들은 이메일이나 웹사이트 뿐만 아니라 국내에서 많이 사용하는 온라인 메신저 기반 공격도 은밀히 활용하고 있다”며 “실제 특정 인물이 사용하고 있는 PC용 모바일 메신저로 악성 문서를 전파해 믿고 열어보도록 했다”고 설명했다.

이어 “악성 파일 하나만 설치하면 원격으로 PC를 제어하는 일은 너무 쉽기 때문에 피해 범위도 다양하고 넓다는 인지해야 한다”며 “추가 파일을 설치할 통로를 만드는 형태기 떄문에 피해가 무궁무진할 수 있다”고 경고했다.