북한 추정 해커들이 국내 주요 기관들을 상대로 사이버 첩보 활동을 해왔다는 분석이 최근 제기된 가운데 이번에는 탈북자와 대북단체를 대상으로 1년 이상 활동해온 해커들이 있다는 또 다른 분석이 나왔다. 동일 단체의 소행 여부는 확인되지 않았다.
보안 업체인 잉카인터넷(대표 주영흠)은 최근 대북단체 소속 사람들에게 한글파일(HWP) 형태로 발송된 악성파일을 분석한 결과, 지난해 6월께 탈북자에게 발송된 악성파일과 동일한 제작자나 조직이 만든 정황을 확인했다고 16일 밝혔다.
이번에 발송된 파일은 세종연구소의 수석연구원이 작성한 것으로 위장했다. 파일을 실행했을 때 정상적인 문서인 것처럼 보여주지만 실제로는 문서 프로그램의 취약점을 이용, 사용자 PC를 감염시켰다.
이 파일에 감염되면 홍콩 소재의 특정 명령제어(C&C) 서버로 접속을 시도해 공격자의 추가 명령을 수행하는, 이른바 `좀비PC`로 만들어져 정보유출 피해를 입거나 DDoS 공격 등에 활용될 수 있다.
악성파일이 접속을 시도하는 C&C 서버는 지난해 탈북자 인적 사항으로 위장한 HWP 파일의 C&C 주소와 100% 일치하고, 정상 프로그램(rundll32.exe)을 통해 악성파일(GooglePlay.dll)을 동작시키는 구조로 돼 있다. 또 아이콘, 중국어 프로그래밍 언어를 쓰는 것도 지난해 발견한 악성파일과 같다.
현재는 정부 당국의 조치로 해당 C&C 서버 접속이 차단된 상태다.
앞서 하우리와 카스퍼스키랩은 북한으로 추정되는 해커 조직이 국방, 외교, 통일 관련 정부 부처와 관련 연구 기관을 상대로 정보를 수집하고 있다고 밝힌 바 있다. 이번 탈북자와 대북 단체를 공격해온 해커가 이들과 동일 조직인지 여부는 아직 확인되지 않았다. 하지만 한글파일을 이용하는 점을 감안할 때 연관성이 있을 것으로 보인다.
문종현 잉카인터넷 대응팀장은 “HWP 문서파일의 취약점을 이용하는 불특정 공격자가 한국 내 북한 관련 단체 및 특정 기업·기관을 상대로 은밀하고 지속적인 침투활동을 1년 넘게 수행하고 있다는 게 확인됐다”며 “HWP 문서파일의 취약점을 이용한 악성파일 공격이 잇따르고 있어 한컴오피스 이용자들은 항상 최신 버전으로 업그레이드해야 한다”고 당부했다.
윤건일기자 benyun@etnews.com
