“북한 연계 해킹 조직 ‘금성121’ 수법과 유사”

북한 연계 해커 단체가 유포한 것으로 추정되는 악성 한글 문서파일(HWP) 전파 사례가 발견됐다.

정보보안업체 이스트시큐리티는 23일 문화체육관광부 산하 한국정책방송원(KTV)의 정책시사저널 프로그램 유튜브 방송 출연 섭외인 것처럼 위장해 대북 분야 전문가를 대상으로 해당 문서가 전파됐다고 전했다.

악성 문서에는 프로그램 진행자 소개와 함께 ‘윤석열 정부 남북정책 북한 코로나 지원, 남북대화 방향은?’이란 주제로 방송 출연 가능 여부를 문의하는 내용이 담겨 있다.

이 문서는 실행될 때 ‘상위 버전에서 작성한 문서입니다’라는 메시지 창이 뜨며 이용자들의 클릭을 유도한다. 이 창에는 악성 OLE(개체 연결 삽입) 명령이 들어있어 버튼을 누르면 북한 연계 해킹 조직이 주로 사용하는 C2 서버 주소에 통신을 시도한다.

이스트시큐리티는 북한 연계 해킹 조직인 ‘금성121’이 배후에 있다고 분석했다.

러시아 얀덱스(Yandex) 이메일을 사용하고 해외 클라우드 서비스에 탈취한 개인정보를 보관한다는 점 등이 이 조직과 유사한 수법이다.

이스트시큐리티는 최근 HWP OLE 기반의 지능형지속위협(APT) 공격이 눈에 띄게 증가하고 있다며 별도의 메시지 창 클릭 안내 화면을 볼 때 주의하라고 사용자들에게 당부했다.

또 문서보안 수준을 ‘높음’ 상태로 유지하도록 사용자들에게 제안했다.