2025.02.06 (목)

  • 흐림동두천 -4.5℃
  • 맑음강릉 -2.3℃
  • 구름많음서울 -1.9℃
  • 구름많음대전 -0.7℃
  • 구름조금대구 0.8℃
  • 구름많음울산 0.1℃
  • 흐림광주 -0.3℃
  • 구름많음부산 0.7℃
  • 흐림고창 -2.0℃
  • 흐림제주 3.9℃
  • 구름많음강화 -3.0℃
  • 구름많음보은 -1.5℃
  • 구름많음금산 -1.2℃
  • 흐림강진군 0.8℃
  • 구름조금경주시 -0.5℃
  • 구름많음거제 1.0℃
기상청 제공

재난/안전/안보

카톡방 유포된 '북러 밀착 중국정책.hwp'…실체는 악성파일

지니언스 보고서 "지인 보낸 파일이라도 의심해야"

K메신저 단체 대화방을 통한 공격사례(사진 연합뉴스 제공)

 

국가 배후 사이버 위협 그룹들이 국내 메신저 단체 대화방을 활용해 악성파일을 배포하고, 해킹과 원격 접속을 통한 피싱 공격을 한 정황이 포착됐다.


5일 지니언스시큐리티센터의 'K 메신저로 유포된 APT37 그룹의 악성 HWP 사례 분석' 보고서에 따르면 지난해 한국을 표적으로 한 다양한 지능형지속위협(APT) 공격이 있었다.


그중 대표적 위협 유형을 꼽는다면 LNK(바로가기) 파일을 빼놓을 수 없을 만큼 많은 사례가 식별됐는데, 이와 더불어 지난해 하반기에는 HWP(한글) 파일을 사용한 공격도 다수 발견됐다고 지니언스[263860]는 설명했다.


한국을 겨냥한 사이버 위협 그룹들은 주로 스피어 피싱 공격, 워터링 홀 공격, 소프트웨어 공급망 공격, 사회관계망 공격, 프리랜서 아웃소싱 공격 등 5가지 수법을 활용하고 두 개 이상을 결합하기도 한다.


대표적인 사례는 지난해 11월 13일 늦은 오후, 특정 K 메신저(카카오톡)의 단체 대화방에 2가지 유형의 파일이 전달된 건이다.


당시 전달된 파일명은 '북러 밀착과 중국의 대북 압박이 북한 체제에 미치는 영향.hwp'와 '북러 밀착 후 중국 정부의 대북정책 변화.lnk'이다.
위협 행위자는 약간의 시차를 두고 서로 다른 유형의 악성파일을 사용했다.


지니언스 분석 결과 초기 유입은 스피어 피싱 공격으로 밝혀졌다. 단말 침투에 성공한 후 일정 기간 잠복을 유지하며 정찰했고, 이용자의 PC용 K 메신저에 몰래 접근해 여러 대화방에 악성파일을 추가 유포한 것이다.


지니언스는 "평소에 잘 알던 지인이 온라인 메신저로 파일을 보내올 경우, 별다른 의심 없이 파일을 열람할 수 있다는 점에서 위험 노출 가능성이 커질 수 있다"고 했다.


바로 위협 행위자가 신뢰 기반 공격 전술을 쓰는 이유이다.


지니언스는 안드로이드 스마트 기기는 상대적으로 안전하나 공식 마켓이 아닌 곳에서 APK 앱을 받아 설치할 경우 위험할 수 있으니 각별히 유의해야 한다고 당부했다.


지니언스는 이 밖에도 특정인의 강의자료나 사적 대화 내용을 미끼로 한 사례 등을 들면서 한국을 겨냥한 APT 공격에서 LNK, HWP 기반 악성파일이 높은 점유율을 보인다고 설명했다.


그러면서 "평소 알고 지내며 신뢰할 수 있는 지인이 보낸 파일이라도, 신분이 도용돼 공격에 악용될 수 있다는 점을 반드시 명심하고 보안 메시지가 뜰 경우 '취소'를 누르는 게 안전하다"고 강조했다.


배너


칼럼