북한 배후 해킹조직 '금성121'이 정치·사회적 이슈를 미끼로 대용량 바로가기(.lnk) 파일을 유포한 정황이 포착돼 주의가 요구된다. 금성121은 북한의 지원을 받는 APT 공격그룹으로, APT37, 레드아이즈(RedEyes) 등으로도 잘 알려져 있다.
1일 이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 금성121은 지난달 12~17일 진행된 김정은 북한 국무위원장의 러시아 방문에 대한 대북 관련 국내 활동가의 원고로 위장해 관심을 유발했다.
사용자가 '2023-0918 김정은 방러결과.lnk'라는 파일을 더블클릭하면, 같은 이름의 한글 파일이 열리면서 정상파일처럼 보인다. 하지만 백그라운드에선 악성코드가 실행, 공격자가 특정 확장자에 대한 정보 수집 및 전송, 추가 페이로드 다운로드 및 실행 등의 명령 제어를 할 수 있게 된다.
또 금성121은 '20220409 국가정보원 혁신 방안.lnk'이라는 파일도 유포했다. 해당 파일 역시 정상파일로 보이지만, 마찬가지로 백그라운드에선 악성코드가 자동으로 실행된다.
최근 국내 대북 관련 단체나 활동가를 타깃으로 한 북한 해킹조직의 스피어피싱 공격이 날로 고도화하는 추세다.
ESRC 관계자는 “이메일의 진위여부 확인 후 첨부파일·링크 접근 또는 이중인증 활성화 등 개인의 보안의식을 고취시켜야 한다”면서 “통합 보안 솔루션 사용과 정기적인 보안 테스트·심화교육을 진행하는 등 조직 차원에서도 철저한 대비책을 강구할 필요가 있다”고 말했다.
조재학 기자 2jh@etnews.com
