[아이뉴스24 김혜경 기자] 최근 워드 문서로 위장한 악성코드가 특정 카카오톡 단체대화방(단톡방)을 중심으로 유포되고 있다. 이태원 참사 관련 악성코드 공격과 비슷한 유형의 명령제어 서버 주소가 사용됐다는 점에서 변종 공격이라는 분석이다.
북한 연계 해커조직의 소행으로 추정되는 가운데 대중적인 메신저를 이용한 사회공학적 사이버 공격이라는 점에서 각별한 주의가 요구된다.
11일 보안업계에 따르면 대북‧외교‧안보 등 100여명의 전문가들이 참여하고 있는 한 카톡 단톡방에서 docx 형식의 악성파일이 발견됐다.
해당 악성파일은 변종에 따라 'ms-office[.]services'와 'offices.word-template[.]net' 원격지에서 추가 파일을 받아 실행한다. 단톡방에서 파일을 열람할 경우 명령제어 서버에서 다운로드가 실행되고 공격자의 의도에 따라 사용자 기기에 악성코드가 설치될 수 있다.
지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 발견된 바 있다. 공격자는 실제 중앙재난안전대책본부(중대본)가 배포한 이태원 참사 관련 보고서를 모방했다. 당시 공격자가 사용한 명령제어 서버는 'ms-offices[.]com'으로 확인됐다.
익명을 요구한 한 보안전문가는 "이태원 참사 관련 악성코드 공격과 이번에 단톡방에서 포착된 공격을 비교했을 때 명령제어 서버 주소 형식이 비슷하다는 점에서 변종 공격으로 보인다"며 "공격자는 대북‧외교‧안보 관련 보고서와 설문지 등으로 위장한 악성 docx 문서를 단톡방에 유포하고 있는 상황"이라고 말했다.
이메일 첨부파일이 아닌 메신저 채팅방에서 유포된다는 점에서 각별한 주의가 요구된다는 지적이다. 공격자가 기존 단톡방 참여자의 계정을 탈취해 악성 문서를 공유하고 있다는 점에서 피해가 확대될 가능성이 크기 때문.
이 과정에서 공격자는 또 다른 단톡방 참여자의 계정을 해킹해 공격에 이용하는 방식이다. 사회공학적 기법의 공격으로 피해는 커질 수밖에 없는 상황이다.
특히 이번 공격 배후에는 북한 해커가 있는 것으로 추정돼 관심이 쏠린다. 보안업계는 북한을 공격 배후로 추정하고 있다. 이 전문가는 "공격 흐름으로 미뤄봤을 때 북한 연계 해커조직의 소행으로 보고 있다"며 "외교‧안보‧국방 관련 단톡방에서 docx 문서를 공유받을 경우 반드시 공유자에게 유선상으로 전송 여부를 확인한 후 열람해야 한다"고 강조했다.
북한 연계로 추정되는 해커집단이 카톡을 활용해 공격을 감행한 것은 이번이 처음은 아니다. 2017년에도 카톡 계정을 노린 악성코드가 유포된 바 있다. 문서 파일 전송 혹은 안드로이드 응용프로그램(APK) 설치를 통해 악성코드 감염을 유도하는 방식이다.
한국인터넷진흥원(KISA) 관계자는 "보안업체로부터 관련 내용을 공유받아 인지는 하고 있다"며 "현재 분석을 진행하고 있다. 분석 결과에 따라 대응할 예정"이라고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기