북한, '거제 어묵 품평회 참가신청서' 위장해 악성코드 유포

북한 연계 해킹조직인 '라자루스'가 거제 수제어묵 품평회 참가신청서로 위장해 국내에 악성코드를 유포한 것으로 분석됐습니다.

미국 사이버보안업체 '멀웨어바이트'에 따르면 라자루스는 지난달 31일 '참가신청서 양식'이라는 제목의 악성 워드 문서를 한국에 유포했습니다.

문서를 열면 '거제시 아주동 수제 어묵 품평회 참가신청서'라는 제목으로 이름과 주민등록번호, 주소 등을 기재할 수 있는 표가 나타나 평범한 문서 파일처럼 보입니다.

그러나 파일을 여는 순간 문서에 삽입된 그림 파일의 확장자가 PNG에서 BMP로 변환되면서, 숨겨져 있던 악성코드가 호출됩니다.

멀웨어바이트는 "이미지에 삽입된 악성코드를 감지하는 보안 체계를 우회하기 위한 교묘한 방식"이라면서 "변환 전에 압축돼있는 악성코드는 기존의 탐지 체계로 발견하기 어렵다"고 설명했습니다.

이번 공격의 피해 정도는 확인되지 않았습니다.

멀웨어바이트는 "라자루스는 지난 몇 년간 한국과 미국, 일본 등을 겨냥해 가장 활발하고 정교하게 활동해 온 해킹조직"이라면서 주의를 당부했습니다.

국내 보안업체 '이스트시큐리티'도 악성코드 분석 리포트에서 "최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 국내에서 지속되고 있다"면서 라자루스 등 북한 해킹조직을 배후로 언급했습니다.

마찬가지로 설문지나 참가신청서 양식 등을 가장한 이메일을 보내고, 그림파일 확장자를 변경해 악성코드를 유포하는 방식입니다.

특히 이 업체는 "가짜 화면에 특이하게 '프로그람'이라는 단어가 발견됐고, 이후 보고된 변종에서는 문구가 변경됐다"고 밝혔습니다.

문서가 정상적인 워드 문서인 것처럼 속이기 위한 위장 화면에서 '프로그람'이라는 북한식 표현을 사용했다가 이후 수정한 것입니다.