北김수키 연계 ‘KimJongRAT’ 유포…국세고지서 사칭파일 주의

HTA파일 악용 정보탈취… 보안 상태 따라 공격방식 변경
이스트시큐리티 “보안 프로그램 우회 시도…업데이트 필수”

ⓒ News1 DB

북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관된 악성코드 ‘KimJongRAT’이 등장해 주의가 요구된다. 이번엔 ‘국세 고지서’ 파일로 위장해 유포됐다.

2일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 김수키 그룹과 연관된 원격 제어형 악성코드(RAT·Remote Access Trojan) ‘KimJongRAT’이 HTA 형태로 유포되고 있다.

HTA(HTML Application) 파일은 윈도우 시스템에서 직접 실행할 수 있는 애플리케이션 형식으로 이용자가 해당 파일을 실행하면 외부 서버와 통신해 추가 악성코드를 내려받는 구조다.

문제의 파일은 ‘국세_고지서_pdf.zip’이라는 이름으로 유포됐다. 파일 내부에는 ‘국세고지서.pdf’로 위장한 바로가기(LNK) 파일이 포함돼 있다. 이메일 피싱 형태로 전파된 것으로 추정된다.

이스트시큐리티 분석 결과 이용자가 해당 바로가기 파일을 열면 내부에 인코딩된 스크립트가 작동해 특정 URL로 연결된다. 해당 주소에서 HTA 파일을 내려받아 실행하면 실제 세금 문서로 보이는 미끼용(디코이) 파일과 함께 악성코드가 설치된다.

시큐리티대응센터 관계자는 “KimJongRAT은 낮은 보안 수준 환경에서 높은 침투력을 보인다”며 “윈도우와 소프트웨어를 항상 최신 버전으로 유지하고 파일 탐색기-확장자명 보기 기능을 활성화해 파일을 실행하기 전 반드시 확장자를 확인해야 한다”고 당부했다.

(서울=뉴스1)