북한 해킹조직과 연계된 악성코드가 국세청 고지서로 위장해 국내에 퍼지고 있는 것으로 나타나면서, 보안 당국과 개인 사용자들 모두 각별한 주의가 요구된다.

2일 정보통신기술 업계에 따르면, 국내 보안업체 이스트시큐리티 시큐리티대응센터는 북한 정찰총국 산하의 해킹조직 김수키가 제작 또는 운영에 관여한 것으로 보이는 악성 프로그램 ‘킴정랫(KimJongRAT)’의 최신 유포 사례를 분석 보고서로 발표했다. 해당 악성코드는 윈도우 파일 형식 중 하나인 hta(HTML Application) 형태로 배포되고 있으며, 파일명은 ‘국세고지서_pdf.zip’으로 위장돼 있었던 것으로 파악됐다.

해킹에 사용된 hta 파일은 인터넷을 통해 사용자의 컴퓨터에서 직접 실행이 가능한 특성을 지닌다. 공격자는 이를 악용해 윈도우의 자동 실행 기능을 우회하고, 별도의 사용자 승인을 받지 않고도 악성코드를 내려받게 만든다. 실제 유포 방식은 주로 이메일을 통해 진행됐으며, 압축파일 내부에는 실행파일처럼 보이는 ‘국세고지서.pdf’라는 이름의 바로가기(LNK) 파일이 들어 있었다. 사용자가 이를 클릭하면 특정 URL에 접속해 악성 hta 파일을 내려받고, 이 파일을 실행하면 디코이(미끼) 파일과 실제 악성 실행파일이 함께 설치된다.

이번 공격의 특징은 보안 회피 기능에 있다. 이스트시큐리티 분석 결과, 킴정랫은 사용자의 컴퓨터에 설치된 보안 프로그램의 활성화 여부를 확인한 뒤, 그 상태에 맞는 공격 방식을 선택하는 것으로 나타났다. 예컨대, 보안 프로그램이 비활성화돼 있을 경우 보다 공격적인 파일이 다운로드되고, 반대로 보안 기능이 작동 중인 환경에서는 탐지를 피하기 위한 우회 방식이 사용된다. 이러한 방식으로 수집된 정보들은 일정 주기로 외부 서버로 전송된다.

특히 이스트시큐리티 측은 이번 악성코드가 국내 이용자들을 겨냥해 정밀하게 제작됐다고 분석했다. 국세청 고지서 형식을 위장 용도로 택한 점이나, 윈도우의 보안 취약점을 공략한 구조가 국내 사용자들의 시스템 환경을 사전에 파악했음을 시사한다. 보통 국내에서는 오래된 운영체제나 보안 업데이트가 미진한 환경이 상대적으로 많아, 이런 표적 공격이 효과적으로 작동할 수 있다.

보안 당국은 사용자들에게 윈도우 및 기타 소프트웨어를 항상 최신 버전으로 유지하고, 파일 탐색기 설정에서 확장자 명시 기능을 활성화할 것을 권고하고 있다. 또한 출처가 불분명한 압축파일이나 PDF로 위장한 실행파일은 절대 열지 말고, 의심될 경우 즉시 보안 전문가의 도움을 받아야 한다.

이 같은 사이버 공격의 정밀도는 갈수록 높아지고 있어, 향후에는 금융기관 고지서나 공공기관 서류를 위장한 유사 사례가 더욱 증가할 가능성도 있다. 실시간 보안 대응 체계와 사용자 인식 제고가 무엇보다 중요한 시점이다.