실시간
뉴스

보안

단톡방에 뿌려진 악성파일…공격자들의 '메신저 이용법'

디지털데일리 발행일 2025-02-05 08:31:45
김보민 기자

[ⓒ픽사베이]
[ⓒ픽사베이]

[디지털데일리 김보민기자] 국가 배후 해킹 조직이 메신저 단체 대화방을 활용해 악성파일을 배포한 정황이 포착됐다. 사용자 단말을 해킹한 뒤, 로그인 돼 있는 메신저에 원격 접속해 맞춤형 피싱 공격을 가한 것으로 파악된다.

5일 지니언스시큐리티센터(GSC) 2월 위협 분석 보고서에 따르면, 지난해 11월 국내 대표 메신저 단체 대화방에 '북·러 밀착과 중국의 대북 압박이 북한 체제에 미치는 영향'과 '북·러 밀착 후 중국 정부의 대북 정책 변화'라는 이름의 두 가지 파일이 전달되는 사례가 발생했다. 첫 번째는 한컴오피스(HWP) 문서 파일, 두 번째는 압축파일(ZIP)에 포함된 바로가기(LNK) 파일이었다.

평소 단체 대화방에서 활동하는 계정이 올린 파일인 만큼 언뜻 보면 의심이 가지 않지만, GSC는 이번 사례가 한국을 표적으로 한 국가 배후 지능형지속위협(APT) 공격의 일환이라고 분석했다. GSC는 "평소에 잘 알던 지인이 온라인 메신저로 파일을 보낼 경우, 별다른 의심 없이 열람할 수 있다는 점에서 위험 노출 가능성이 커질 수 있다"고 설명했다.

단체방에 올라온 HWP 파일은 개체연결삽입(OLE)가 포함돼 있었고, LNK 파일의 경우 파워셸(PowerShell) 명령이 삽입돼 있었다. 특정 개인, 조직, 회사를 대상으로 맞춤형 피싱 공격을 가하는 전형적인 스피어피싱 위협 방식이다. 공격자는 해킹 위협으로 단말에 침투한 뒤 일정 기간 잠복을 유지하며 정찰과 탐지 작업을 수행한 것으로 나타났다. 이후 이용자 PC용 메신저에 접근해 대화방에 악성파일을 추가 유포했다.

[ⓒ지니언스시큐리티센터]
[ⓒ지니언스시큐리티센터]

보안 업계에서는 메신저 서비스를 활용한 피싱 공격에 대해 "흔하지 않다"고 말한다. 스피어피싱을 수행하기 위해 메신저 대화 대상 등도 파악이 필요하기 때문이다. 단말을 해킹해 원격 접속이 가능해졌다 하더라도, 유포 파일에 관심을 가질 만한 대화 상대가 없을 가능성도 있다.

공격자가 특정인 강의 자료나 사적 대화 내역을 미끼로 피싱 이메일을 보내는 데 집중하는 이유이기도 하다. GSC는 지난해 하반기 기준, 한국을 겨냥한 APT 공격에서 HWP·LNK 기반 악성파일을 활용한 사례가 높은 점유율을 보였다고 진단했다. 초기 침투 과정에 이메일을 활용하고, 피해자 단말 환경을 공격 거점으로 쓴다는 의미다. GSC는 "피해자가 가해자 역할로 악용될 수 있다"고 표현했다.

LNK 유형의 악성파일의 경우 정상 문서처럼 아이콘을 위장하고, 코드 내부에 실제 문서를 내포했다가 악성코드를 실행할 때 이를 함께 보여주는 전략을 구사한다는 특징이 있다. 아이콘에 화살표 표시가 있어 육안상 구분도 가능하다. HWP 유형 악성파일의 경우, 문서 포맷 취약점(익스플로잇·Exploit)이 아닌 OLE 기능을 악용한다는 특징이 있다. HWP 문서를 열람할 때 보안 위험 안내 메시지가 나타나기도 하는데, 이때 '취소' 버튼을 누르는 것이 안전하다고 GSC는 설명했다.

이러한 기법을 사용하는 대표적인 국가 배후 공격그룹은 APT37이 있다. APT37은 2012년부터 활동한 것으로 알려진 북한 배후 그룹으로 한국을 비롯해 일본, 베트남 등 주요 지역을 표적을 삼고 있다. 한국에서는 북한 인권단체, 탈북민, 북한 취재 기자 등 통일·국방·외교안보·대북분야 전문가와 교수를 겨냥한 위협을 가하는 흐름을 보이고 있다. 단말 침투를 위해 안티바이러스 기반 시그니처 탐지를 회피하는 데 특화된 것으로 알려졌다.

국내에서 발견된 HWP 악성파일 중 일부는 구글 바이러스토탈(VirusTotal) 서비스에 업로드된 것으로 파악됐다. 공격자가 위협을 가하기 전 국내 주요 안티바이러스 제품의 진단 가능 여부를 확인하고, 탐지 회피를 꾀했다는 점을 시사하는 부분이다. GSC는 "등록 초기에 동일 안티바이러스 엔진 또는 소수 제품에서 제한적으로 탐지됐는데, 해당 진단명 중 '휴리스틱(Heuristics)' 키워드가 관찰됐다"고 말했다. 휴리스틱은 유사 악성파일 탐지 기술이다.

[ⓒ지니언스시큐리티센터]
[ⓒ지니언스시큐리티센터]

한편 보안 업계에서는 탄핵정국으로 국내 사회가 혼란에 빠진 만큼, APT37을 비롯한 국가 배후 해킹조직이 공격 기법을 고도화할 가능성을 배제할 수 없다고 보고 있다. 공격 방식이 진화하고 있다는 평가가 나오는 만큼, 개인은 물론 기업과 기관 측면에서도 보안 태세를 강화해야 한다는 목소리가 나오고 있다.

GSC는 "HWP 문서 내부에 악성 OLE 개체를 삽입한 APT37 그룹의 공격이 이어지고 있고, 메신저 단체 대화방을 활용하는 등 수법이 교묘해지는 중"이라며 "평소 알고 지내며 신뢰할 수 있는 지인이 보낸 파일이라도, 신분이 도용돼 공격에 악용될 수 있다는 점을 명심해야 한다"고 말했다. 이어 "안티바이러스 탐지 우회를 사전 테스트 및 변종을 제작해 공격을 가하는 경우도 있어, 단말 이상 행위 탐지 대응 기술이 필요하다"고 강조했다.

개인용 단말 보안 태세 또한 강화해야 한다고 부연했다. GSC는 "편의상 여러 비밀번호를 저장해 로그인 상태를 유지해 사용하는 경우가 있는데, 이용자가 잠시 자리를 비우거나 컴퓨터를 켜놓고 이동할 경우 (공격자가) 원격 접속을 통해 메신저 서비스 등에 무단 접근 후 악성파일을 전파하게 된다"며 "기업과 기관 등에서 업무상 컴퓨터를 켜놓고 퇴근하는 것을 지양하는 것이 안전하다"고 제언했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x