(출처=이스트시큐리티 알약 블로그 캡처)
북한 해커조직이 이혼 소송 서류가 담긴 메일로 위장해 악성코드를 유포하고 있다.
15일 이스트시큐리티 대응센터(ESRC)에 따르면 최근 '협의 이혼 의사 확인 신청서'를 위장한 워드 파일을 유포해 개인정보를 빼내려는 사례가 확인됐다.
공격 메일에 담긴 악성코드는 콰사르RAT라고 불린다. 기존에는 주로 피싱(Phishing) 및 스팸 메일이나 크랙 프로그램을 통해 유포돼 왔는데 이번에는 이 매크로가 포함된 워드파일이 공격에 쓰인 것이다.
문제의 워드 파일을 열면 상단에 '콘텐츠 사용'이라는 버튼이 뜬다. 이 버튼을 클릭하면 '협의 이혼 확인신청서' 양식이 뜬다. 동시에 백그라운드에서는 오토오픈(Auto Open) 함수에 의해 문제가 된 워드 파일에 포함된 매크로가 자동 실행된다.
ESRC는 "일반적 워드 파일과 다르게 파일 형식은 '.doc'이지만 '.hwp' 파일형식으로 보여진다는 점"이라며 "공격자들이 법원 전자민원센터에서 제공되는 한글 파일(.hwp)을 워드 파일(.doc)로 저장해 이번 공격 디코이 파일로 사용했음을 추측할 수 있다"고 설명했다.
그러면서 ESRC는 "여러 지표들을 분석한 결과 이번 공격은 북한이 배후에 있는 APT(지능형 지속위협) 조직의 '스모크 스크린' 공격 활동의 연장선으로 결론지었다"며 "북한 정찰총국의 지원을 받는 해커 조직의 국내 공격이 거세지고 있다"고 주의를 당부했다.