"보안 경고 메일인줄 알았는데"…MS 악용 메일주의보

"실제 보안 경고로 오인하도록 설계"

마이크로소프트(MS) 보안경고 메일을 사칭해 한국 사용자의 PC에 악성코드를 퍼뜨리는 사이버공격이 발견됐다.

마이크로소프트 보안팀을 사칭한 이메일 공격. 지니언스.

15일 국내 보안기업 지니언스는 최근 북한 연계 해킹조직 APT37의 소행으로 의심되는 악성코드 '나왈랫(NarwahlRAT)'이 한국 사용자를 대상으로 퍼지고 있다고 밝혔다.

이번 공격은 '일회용 인증코드 반복 발생에 따른 보안 점검 안내'라는 제목의 스피어피싱 메일로 이뤄졌다. 메일 발신자는 'MS 계정 팀'으로 나타났지만, 실제 발신자는 MS 공식 계정이 아닌 것으로 확인됐다.

메일은 계정 탈취 및 인증코드 악용 가능성에 관한 불안감을 조성해 첨부된 보안 안내문 확인을 유도한다. 수신자가 압축 파일을 저장해 풀면 한글 문서 형태의 '사이버 보안주의 안내문.Ink' 파일이 나타난다. 정상적인 문서처럼 보이도록 파일명을 구성해 사용자의 실행을 유도하고, 악성코드를 설치하는 수법이다.

지니언스는 악성코드가 'naverwhale'(네이버웨일)이라는 이름의 폴더를 작업 디렉터리로 사용했다는 점에서 한국에서 쓰이는 네이버웨일 브라우저로 위장해 한국 사용자를 표적으로 삼고 있다고 해석했다.

내부 코드에 카카오톡 관련 식별 문자열도 처리하고 있다는 점을 고려해 악성코드가 국내 사용자 환경을 고려해 만들어진 가능성이 있다고 봤다.

나왈랫은 공격자의 원격 명령을 따라 키보드 입력 기록, 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등 30종 이상의 기능을 가동할 수 있다.

지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례와 비슷한 구조와 수법을 보인다고 분석했다.

지니언스는 "향후 유사한 변종 형태로 지속 활용될 가능성이 존재한다"며 "행위 기반 탐지 체계를 강화할 필요가 있다"고 했다.

이은서 기자 libro@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0