입력2023.02.14. 오전 8:15

안랩 “김수키 제작 악성코드, 자기소개서·앱서비스 제안서 등 형태로 유포”

북한 해킹 조직 ‘김수키’가 만든 악성코드의 공격 표적이 방송사와 일반 기업까지 확대한 것으로 나타났다.
 
14일 안랩에 따르면 김수키가 만든 악성코드가 자기소개서와 앱 서비스 제안서 등의 형태로 유포되고 있다. 앞서 이 악성코드는 지난달 10일 안보 분야 종사자를 대상으로 유포됐으나, 이번에는 그 대상이 방송사와 일반 기업으로 확대된 것이다.
 

유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’ ‘임** 자기소개서.docx’ ‘app-planning-copy.docx’ 등이다. 해당 파일을 내려받으면 여기에 포함돼 있던 악성 매크로가 실행되면서 cURL(Client URL) 명령어가 포함된 파일을 생성 및 실행한다. 이 파일에는 추가 악성 스크립트 다운로드 및 실행 코드가 들어 있어 실행 시 최근 연 워드 문서 목록, 시스템에 설치된 바이러스 백신 정보, 시스템 내 다운로드폴더 경로 정보, 실행 중인 프로세스 정보 등이 외부로 유출된다.
 
안랩은 “처음에는 대북 관련 인사를 겨냥했던 악성코드가 이제는 일반 기업 사용자를 대상으로도 유포되고 있다”고 전했다. 그러면서 “발신자를 알 수 없는 메일의 첨부 파일은 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
 
북한 해커조직 김수키(Kimsuky)는 지난 2014년 한국수력원자력을 해킹한 것을 비롯해 공공기관은 물론 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 오랫동안 여러 차례 해왔다.
 

조성민 기자 josungmin@segye.com