출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=110854&kind=

카카오 서비스 장애 관련 긴급 업데이트 파일 위장 악성코드와 동일 기능 수행
악성코드 실행되면 추가로 원격 제어 악성코드 다운로드해 피해자 PC 원격 제어

[보안뉴스 김경애 기자] 북한 정부의 지원을 받는 해커그룹이 ‘내PC 돌보미’로 위장한 악성코드를 유포한 정황이 포착돼 이용자들의 각별한 주의가 요구된다.
 

▲(왼쪽)‘내PC 돌보미’로 위장한 악성코드와 (오른쪽)정상파일[이미지=보안뉴스]

‘내PC 돌보미’는 과학기술정보통신부에서 일반 국민에게 무료로 제공하는 사이트로, 한국인터넷진흥원이 운영한다. 인터넷을 안전하게 이용할 수 있도록 원격 보안점검을 실시하며, 점검 결과에 따른 안전조치를 지원하는 서비스다.

그런데 북한 해커조직이 한국인터넷진흥원 사이트로 위장한 도메인을 사용해 악성코드를 유포한 정황이 20일 포착됐다. 북한의 사이버공격을 전문적으로 연구 및 추적하는 연구그룹 이슈메이커스랩에 따르면 “북한의 해커조직이 ‘내PC 돌보미’로 위장한 악성파일을 특정 타깃을 대상으로 배포했다”며 “그들은 한국인터넷진흥원 사이트로 위장한 도메인을 사용해 악성코드를 다운로드 받도록 유도했다”고 밝혔다.
 

▲지난 16일 카카오 서비스 장애에 대한 긴급 업데이트 파일로 위장한 악성코드[이미지=보안뉴스]

특히, 이번에 유포된 악성코드는 지난 16일 카카오 서비스 장애에 대한 긴급 업데이트 파일로 위장한 악성코드와 동일한 기능을 수행해 주목되고 있다. 해당 악성코드가 실행되면 추가적으로 원격제어 악성코드를 다운로드해 피해자 PC를 원격으로 제어하게 된다.

이슈메이커스랩은 “해당 조직은 2019년부터 동일한 원격제어 악성코드를 기반으로 공작을 수행하고 있다”며 “주로 다른 국가들을 대상으로 공작활동을 벌이다가 최근에는 코로나19를 기점으로 우리나라에 대한 공격을 확대하고 있다”고 분석했다.

이스트시큐리티 문종현 이사는 “북한의 사이버안보 위협이 우리가 생각하는 수준 이상으로 공격 수위가 높아지고 있다”며 “특히 외교, 안보, 국방, 통일 분야 고위관계자를 노려 사생활 정보 수집 등을 통한 직접적인 포섭 및 협박 등 공격 수위가 한층 커지고 있어 우려되는 상황이다. 국가안보 차원에서 민관의 합동 대응이 요구된다”고 강조했다.

또한, 익명을 요청한 악성코드 분석가는 “이러한 공격 그룹은 사람들이 신뢰하는 기관을 사칭해 공격한다”며 “사이트를 방문할 때는 실제 사이트인지 확인하는 습관이 필요하다”고 당부했다.

리니어리티 한승연 대표는 “메일을 통해 프로그램의 업데이트, 보안 프로그램의 설치 등을 유도하는 피싱 공격은 오래된 수법이지만 쉽게 속을 수 있다”며, “개인은 이메일 수신 시 첨부파일이나 링크에 exe 등 실행가능한 파일(또는 이를 포함한 압축파일)이 포함되면 설치파일은 직접 실행하지 않고, 공식 사이트에서 다운로드하거나 프로그램에서 제공하는 업데이트 기능을 이용해야 한다. 기업은 이메일 보안 솔루션에서 무조건 차단하도록 설정하는 등 강력한 보안정책을 적용해야 한다”고 주문했다.
[김경애 기자(boan3@boannews.com)]