[아이뉴스24 김혜경 기자] 남북 외교안보 학술회의 발제문 요청으로 위장한 북한 연계 해킹 공격이 연이어 포착돼 주의가 요구된다.
이스트시큐리티 시큐리티대응센터(ESRC)는 국내 외교·안보·통일 분야 종사자를 겨냥, 특정 학술회의를 사칭해 악성 파일을 유포한 정황을 발견했다고 2일 발표했다.
해당 악성 파일은 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 '바로가기(LNK)' 유형으로 확인됐다. '중요 자료.PDF.LNK' 파일이 있다면 LNK 확장자 부분은 윈도우 운영체제에서 보여지지 않는다. 실제로는 '중요 자료.PDF' 파일처럼 보이는 원리를 악용한 셈이다.
![PDF 문서처럼 위장된 2중 확장자의 LNK 악성 파일 화면. [사진=이스트시큐리티]](https://image.inews24.com/v1/190518a030e018.jpg)
LNK 파일은 PDF 문서처럼 보이지만 실행 대상 명령어에 'mshta.exe' 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 통신을 시도하는 명령이 포함돼 있다.
새로 식별된 거점 서버는 지속 발견되는 '웹 프리 호스팅' 도메인으로 생성됐고, 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳이라고 ESRC는 설명했다.
분석 결과 공격자는 피해자 로컬 환경에서 악성 LNK 파일이 작동한 후 개인 정보가 유출될 경우 해당 파일을 삭제하고, 정상 PDF 문서로 교체하는 명령도 준비한 것으로 나타났다.
![악성 LNK 파일을 정상 PDF 파일로 교체하는 명령 화면. [사진=이스트시큐리티]](https://image.inews24.com/v1/fae32a329d21a2.jpg)
ESRC센터장 문종현 이사는 "공격자는 LNK 악성 파일을 이메일에 첨부할 때 확장명이 보이지 않도록 ZIP이나 RAR 등으로 압축하므로 압축파일 내부 목록을 먼저 살펴보고 접근해야 한다"며 "연말연시의 들뜬 분위기를 노린 경우와 송년회, 학술대회 등을 사칭한 공격에 각별한 주의가 필요하다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기