동아일보 DB
대북관련 인사들을 상대로 해킹을 벌이던 북한의 해킹 조직 ‘김수키’가 방송 및 일반 기업까지 해킹대상을 넓힌 것으로 확인됐다.
14일 안랩에 따르면 김수키가 만든 악성코드가 앱 서비스 제안서와 자기소개서 형식으로 유포되고 있다.
유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’ ‘임**자기소개서. docx’ ‘app-planning-copy.docx’ 등이다.
안랩은 이와 관련해 “처음에는 대북 관련 인사를 겨냥했던 악성 코드가 이제는 일반 기업 사용자를 대상으로도 유포되고 있다”고 말했다.
그러면서 “발신자를 알 수 없는 메일의 첨부 파일은 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
김수키는 지난달 15일 이미 포털사이트를 위장한 피싱 메일로 이용자들의 비밀번호를 빼내려 시도한 정황이 발각됐다. 이들은 또 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭해 해킹 공격을 시도하기도 했다.
이스트시큐리티에 따르면 김수키는 다음(daum)과 유사한 영문 표기 'daurn' 도메인을 이용해 피싱 메일을 유포했으며 메일에는 비밀번호 변경을 유도하는 본문과 하이퍼링크가 포함돼 있다. 하이퍼링크를 클릭하면 카카오 로그인 페이지를 위장한 피싱 사이트에 접속되며, 이곳에 입력한 정보는 고스란히 공격자 서버로 전송되는 구조다.
유엔은 북한의 해킹 조직들이 사용하는 기술이 갈수록 정교해져 해킹으로 얻은 도난 자금을 추적하기가 어려워지고 있다고 지적한 바 있다.
최재호 동아닷컴 기자 cjh1225@donga.com