최근 북미 정상회담을 주제로 관심을 유도하는 한글 워드프로세서(HWP) 악성 문서 파일이 유포되고 있어 사용자의 주의가 요구된다. 악성코드 유포자와 관련한 정보는 확인되지 않았다.

시스코 보안 전문가 그룹 탈로스는 최근 한국에서 유포 중인 ‘미북 정상회담 전망 및 대비.hwp’라는 제목의 한글 문서 파일에서 악성코드를 발견했다고 1일 밝혔다.

‘미북 정상회담 전망 및 대비.hwp’라는 제목으로 유포 중인 악성 한글 문서 파일을 실행한 모습. / 시스코 탈로스 제공
‘미북 정상회담 전망 및 대비.hwp’라는 제목으로 유포 중인 악성 한글 문서 파일을 실행한 모습. / 시스코 탈로스 제공
이 문서는 다가오는 북미 정상회담 관련 정보를 담고 있는 것으로 보이지만, 실제로 해당 파일을 열면 ‘NavRAT’라는 원격 접속 트로이목마 악성코드가 다운로드 된다. 이 악성코드는 사용자가 키보드로 입력하는 내용을 몰래 가로채 기록하는 키 로깅 등 다양한 악성 활동을 수행하는 것으로 분석됐다.

탈로스는 “공격자는 네이버 이메일로 해당 악성 파일을 유포하고 있으며, 탈로스가 그동안 포착한 악성코드 중 네이버를 이용한 것은 이번이 처음이다"라고 밝혔다.

탈로스는 이번 공격의 배후를 정확하게 특정하지는 않았지만, 악성코드 분석 결과와 한글 문서 파일을 악용한 점 등을 미뤄 최근 한국을 대상으로 비슷한 수법으로 활발히 표적 공격을 펼친 ‘그룹123’이 유력할 것으로 보고 추가 분석 작업을 수행 중이다.


키워드