안랩, 4·15 총선 노린 악성코드 발견…北 해킹그룹 ‘킴수키’가 만든 듯

보안업체 안랩은 4·15 총선을 앞두고 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 해당 악성코드는 2014년 한국수력원자력 원전 도면 유출 해킹 사건의 주범으로 지목된 북한 정부지원 해킹그룹 ‘킴수키’ 조직이 만든 것으로 추정된다.

안랩에 따르면 악성 마이크로소프트(MS) 워드 문서에는 ‘21대 국회의원 선거 관련’ ‘국회 의석수 현황’ ‘교섭단체 의석수 현황’ 등의 내용이 적혀있어 겉보기에는 일반 문서처럼 보인다. 하지만 해당 문서를 여는 순간 특정 인터넷주소(URL)에서 악성파일을 다운로드 받도록 설계됐다. 악성파일이 설치되면 컴퓨터 이름, 프로세스 목록, 디렉토리 정보, 시작프로그램 목록 등 PC 정보가 해커에게 유출된다.

공격은 지능적이다. 해커가 공격 대상을 특정하면 공격 대상의 서버를 열어 추가 악성파일을 내려받게 하고는 5분마다 특정 URL에 접속하게 해 정보를 가져가도록 했다. 안랩 관계자는 “실제 공격 대상 PC에만 추가 악성코드를 유포해 노출을 최소화하고 해킹 성공률은 높이기 위한 것”이라고 말했다.

악성 MS 워드 문서는 한국인으로 보이는 작성자(seong jin lee)에 의해 만들어졌다. 문서를 열면 킴수키 그룹이 공격에 사용해온 ‘saemaeul.mireene.com’이라는 주소로 연결된다.

킴수키 그룹이 만든 것으로 추정되는 악성코드는 2017년부터 급증하고 있다. 북한 사이버공격을 전문적으로 연구하는 이슈메이커스랩에 따르면 킴수키 그룹이 만든 악성코드는 2016년 70건에서 2019년 296건으로 4배 이상 증가했다.

사이먼 최 이슈메이커스랩 대표는 “킴수키 그룹은 최근 국내는 물론 해외 외교 기관 등을 대상으로 공격을 확장하고 있다”고 말했다.

신무경 기자 yes@donga.com