19일 새벽 청와대 관련 파일로 위장한 악성 파일이 등장했다. 미리 점쳐둔 표적의 정보를 꾸준히 모아 약점을 파악한 뒤 공격하는 지능형지속위협(APT)이다. 배후는 북한 정부의 지원을 받은 해킹 그룹 ‘김수키(Kimsuky) 조직’이다.
이번에 발견된 악성 파일 중 하나는 윈도 스크립트 파일(WSF) 형식으로 파일명은 ‘bmail-security-check.wsf’다. WSF는 자바스크립트(JScript)나 VB스크립트(VBScript) 등 다양한 언어를 지원하는 윈도 실행 파일 종류다.
다른 파일은 윈도 화면 보호기(SCR) 형식으로 파일명은 ‘bmail-security-check.scr’이다.
특이점은 두 파일명에 청와대 보안 체크 프로그램인 ‘bmail’을 붙였다는 점이다. 실제 WSF 파일을 실행하면 ‘보안 메일 현시에 안전합니다'라는 알림창도 나온다. 청와대 보안 이메일인 것처럼 사칭한 경우다. WSF 파일은 청와대 이미지를 아이콘으로 사용하기도 했다.
해당 파일을 열면 해커의 명령제어(C2) 서버와 PC가 연결돼 안에 담긴 각종 정보가 빠져나간다. 해커의 추가 명령에 따라 원격 제어 등의 추가 피해로 이어질 수도 있다.
ESRC는 공격 배후로 김수키 조직을 꼽았다. 공격 방식을 분석한 결과 과거 김수키 조직의 공격 방식과 유사해서다. 최근 알려지지 않은 사례까지 포함해 김수키 조직이 다수 공격을 진행했다는 사실도 밝혔다.
앞서 김수키 조직은 2019년 12월 청와대 행사 견적서를 사칭한 APT 공격을 벌였다. 그해 4월에는 대북 국책연구기관인 통일연구원을 사칭해 스피어피싱(악성파일을 이메일에 첨부해 표적 대상에 발송) 공격을 벌이기도 했다. 이번에 발견된 WSF 악성파일에서 실행시 나타나는 ‘현시'라는 표현도 북한식 언어 표기법이다.
문종현 이스트시큐리티 ESRC 센터장은 "청와대 사칭해 공격할 의도가 다수 포착된 만큼 관계자의 각별한 주의가 필요하다"고 조언했다.
김평화 기자 peaceit@chosunbiz.com