‘국세고지서.pdf’ 위장한 악성파일 비상…北김수키 연관된 듯

국세 고지서 위장 파일. 이스트시큐리티 홈페이지 캡처

북한 정찰총국 산하 해킹 조직인 김수키(Kimsuky)와 연관된 것으로 알려진 악성코드 ‘KimJongRAT’이 국세 고지서 파일로 위장해 유포되고 있어 주의가 요구된다.

2일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 김수키와 연관된 원격 제어형 악성코드(RAT·Remote Access Trojan) ‘KimJongRAT’이 HTA(HTML Application) 파일 형태로 유포되고 있다.

HTA 파일은 정상 윈도우 프로세스를 활용해 인터넷에서 원격으로 HTA를 직접 실행할 수 있어 공격자가 자주 사용하는 방식이다.

이번에 문제의 파일은 ‘국세_고지서_pdf.zip’이라는 이름으로 피싱 메일을 통해 유포된 것으로 파악됐다. ‘국세_고지서_pdf.zip’ 내부에는 ‘국세고지서.pdf’로 위장한 바로가기(LNK) 파일이 포함됐다.

이용자가 바로가기를 열면 특정 URL로 연결된다. 해당 URL에 접속하면 HTA 파일을 내려받게 되는데, 이를 실행하면 세금 문서처럼 보이는 미끼용(디코이) 파일과 함께 악성코드가 설치된다.

시큐리티대응센터 측은 “KimJongRAT은 낮은 보안 수준 환경에서 높은 침투력을 보인다”며 “윈도우와 소프트웨어를 항상 최신 버전으로 유지하고, 파일 탐색기-확장자명 보기 기능을 활성화해 파일을 실행하기 전 반드시 확장자를 확인해야 한다”고 설명했다.

이혜원 기자 hyewon@donga.com