안랩, '고리2호기 배치도' 파일로 위장한 악성코드 공격 포착
애플시드 감염되면 개인정보 탈취 및 추가 악성코드 설치 등 피해 우려
北 해커조직 ‘킴수키’가 주로 사용한 제작기법…안랩, 北 소행 판단에는 신중
[서울=뉴시스]송종호 기자 = 최근 원자력 발전 관련 기업 관계자들을 타깃으로 하는 사이버 공격징후가 포착됐다. 해커는 원전 배치도 등으로 위장한 문서 형태의 악성코드로 정보 탈취를 노렸다.
31일 안랩에 따르면 최근 '배치도 고리2호기' 등의 제목으로 마치 원전 설계도면 관련 문서인 것처럼 위장해 악성코드를 설치하도록 유도하는 피싱 공격사례가 잇따르고 있다. 해커는 이같은 제목의 엑셀파일로 위장한 악성코드를 메일 첨부파일로 보냈는데, 정작 이 파일은 사용자 컴퓨터에 상주하며 개인정보 탈취 등을 수행하는 백도어 파일로 밝혀졌다.
사용자가 부지불식간에 해당 문서를 실행하면 이용자의 시스템에 악성파일 ‘애플시드’가 몰래 설치된다. 애플시드는 백도어 악성코드로, 공격 대상의 시스템에 상주하면서 외부 공격자의 명령을 받아 계정정보 탈취나 또다른 해킹코드 추가설치 등 악성 행위를 수행한다.
공격자는 악성코드를 유포하는 과정에서 메일 사용자의 의심을 덜기 위해 엑셀 파일명에 이중 확장자를 사용하는 치밀함을 보였다. 가령 확장자명에 정상 파일명을 기재해 악성코드로 연결된 인터넷 링크 확장자명을 가리는 식이다.
또 파일 속에는 실제 원자력 발전소 관련 내용이 적혀있어 정상적인 문서를 열어 본 것처럼 이용자를 속인다.
이 때 설치되는 애플시드는 지난 2019년부터 발견되고 있는 악성코드로, 북한이 지원하는 해킹조직인 ‘킴수키’가 만든 것으로 추정된다. 지난 6월에는 국내 기업들을 대상으로 품의서, 발주서로 위장한 파일에 애플시드를 숨겨 유포한 정황이 포착되기도 했다.
반면, 안랩은 공격자 추정에 신중한 입장을 보였다. 회사 관계자는 " “특정 공격자가 특정 수법을 자주 사용한다고 이번에도 같은 공격자라고 단정할 수는 없다”며 “무엇보다 출처가 불분명한 메일에 첨부된 파일은 실행하지 않도록 주의가 필요하다”고 당부했다.
◎공감언론 뉴시스 song@newsis.com