최근 ‘협의 이혼 의사 확인 신청서’라는 제목의 워드파일을 위장한 파일을 첨부한 악성 메일이 유포되고 있는 정황이 포착됐다. 해당 공격의 배후에는 북한 해킹 조직이 연루돼 있는 것으로 확인됐다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, ‘협의 이혼 의사 확인 신청서’라는 피싱 메일이 유포되고 있는 정황이 15일 확인됐다. 주로 피싱 또는 스팸 메일이나 크랙 프로그램을 통해 유포됐던 콰사르(Quasar) RAT이 매크로가 포함된 워드파일을 통해 확산되고 있는 정황이 포착된 것이다.
‘신청의 취지’로 "이혼의사가 확인됐으니 확인을 구합니다"라는 상세한 문구와 함께 확인기일, 담당자 서명란 등이 세세하게 구성된 형식이다.
공격자는 사용자가 파일을 실행하면 ‘콘텐츠 사용’ 버튼 클릭을 유도하며, ‘콘텐츠 사용’ 버튼을 누르면 ‘협의이혼의사확인신청서’ 양식을 보여주면서 정상 파일인 것처럼 위장한다. 하지만 백그라운드에서는 워드 파일에 포함된 매크로가 자동 실행되면서 공격을 감행한다.
주목할만한 점은 일반적인 워드 파일과는 다르게 해당 파일 형식은 ‘.doc’ 파일이지만 ‘.hwp’ 파일 형식으로 보인다는 것이다.
이는 공격자들이 법원 전자민원센터에서 제공되는 한글 파일(.hwp)을 워드 파일(.doc)로 저장해 이번 공격의 미끼 파일로 사용했음을 추정할 수 있다.
ESRC는 여러 지표들을 분석한 결과, 이번 공격은 북한 정찰총국이 배후에 있는 APT 조직의 '스모크 스크린(Smoke Screen') 공격 활동의 연장선으로 결론지었다.
북한의 정보기관이자 대외 무력 행사를 담당하는 정찰총국은 공작원의 양성 및 침투, 정보 수집, 요인 암살, 납치, 테러 등의 공작을 벌이는 집단이다.
보안업계 관계자는 "북한정찰총국의 지원을 받는 해커 조직의 국내 공격이 거세지고 있다"며 "최근 발생한 것들만 봐도 국세청, 사이버보안국 등 정부기관을 사칭하는가 하면, 사생활과 밀접한 부부관계 등을 이용한 공격까지 이어지고 있는 실정이다"고 말했다.
이어 "사용자는 의심되는 메일은 정부기관이라 하더라도 섣불리 첨부파일을 눌러선 안된다"며 "상담을 신청하지 않았는데도 문의에 대한 답변 메일이라든지, 신청하지 않은 문서 등을 보내 온다면 즉시 삭제하기를 권고하며 의심스러운 파일들의 실행을 지양해주길 바란다"고 당부했다.
이유정 기자 uzzoni@chosunbiz.com