"북한, 외교안보 학술회의 위장 문서로 해킹 공격"

보안 전문 기업 이스트시큐리티는 오늘(2일) 남북 외교·안보 학술회의 토론 발제문 요청으로 위장한 북한 연계 해킹 공격이 등장했다며 주의를 당부했습니다.

이번 공격은 국내 외교·안보·통일 분야 종사자 등 학술회의나 연말 행사 참석 대상자에게 일정을 문의하거나 자료를 요청하는 듯한 이메일을 보내고, 답장한 이들에게 선별 접근하는 '투트랙' 방식으로 이뤄졌습니다.

처음에 보낸 이메일은 해킹에 흔히 쓰이는 악성 첨부파일이나 URL 링크가 포함되지 않아 의심을 피했습니다.

다만 이후 답장에 이어 오는 메일에는 악성 파일이나 링크가 들어 있는 경우가 많습니다.

특히 언뜻 정상 PDF 문서처럼 보이도록 이중 확장자로 만든 '바로가기(LNK)' 유형의 악성 파일이 발견됐다고 이스트시큐리티는 경고했습니다.


예를 들어【중요 자료.PDF.LNK】 파일에서 '바로가기(LNK)' 확장자 부분은 윈도 운영체제에서 나타나지 않아 정상적인【중요 자료.PDF】파일로 보입니다.

이 '바로가기(LNK)' 파일에는 'mshta.exe' 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 몰래 통신을 시도하는 명령이 숨어 있습니다.

이 서버는 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나입니다.

이스트시큐리티는 겉보기에 PDF 문서인 파일을 받으면 이중 확장자 여부 등을 꼼꼼히 살펴야 한다고 당부했습니다.

보통 압축돼 오는 이런 파일의 압축을 무심코 풀지 말고, 내부 목록을 먼저 살펴보고 접근해야 한다는 것입니다.

이스트시큐리티 ESRC센터장 문종현 이사는 "연말연시의 들뜬 분위기를 노린 경우와 송년회, 학술대회 등을 사칭한 공격에 각별한 주의가 필요하다"고 말했습니다.