총선문건 위장 악성코드 北 유포 추정

문서 여는 순간 PC정보 유출… 北해킹그룹 ‘킴수키’가 만든 듯

보안업체 안랩은 4·15총선을 앞두고 국회의원 선거 관련 문서 형태의 악성코드가 유포되고 있다고 12일 밝혔다. 해당 악성코드는 2014년 한국수력원자력 원전 도면 유출 해킹 사건의 주범으로 지목된 북한 정부 지원 해킹그룹 ‘킴수키’ 조직이 만든 것으로 추정된다.

안랩에 따르면 악성 마이크로소프트(MS) 워드 문서에는 ‘21대 국회의원 선거 관련’ ‘국회 의석수 현황’ ‘교섭단체 의석수 현황’ 등의 내용이 적혀 있어 겉보기에는 일반 문서처럼 보인다. 하지만 해당 문서를 여는 순간 특정 인터넷주소(URL)에서 악성파일을 내려받도록 설계됐다. 악성파일이 설치되면 컴퓨터 이름, 프로세스 목록, 디렉토리 정보, 시작프로그램 목록 등 PC 정보가 해커에게 유출된다.

공격은 지능적이다. 해커가 공격 대상을 특정하면 자신의 서버를 열어 추가 악성파일을 내려받게 하고는 5분마다 특정 URL에 접속하게 해 정보를 가져가도록 했다. 안랩 관계자는 “실제 공격 대상 PC에만 추가 악성코드를 유포해 노출을 최소화하고 해킹 성공률은 높이기 위한 것”이라고 말했다.

악성 MS 워드 문서는 한국인으로 보이는 작성자(seong jin lee)에 의해 만들어졌다. 문서를 열면 킴수키 그룹이 공격에 사용해 온 ‘saemaeul.mireene.com’이라는 주소로 연결된다.

북한의 사이버 공격을 전문적으로 연구하는 이슈메이커스랩에 따르면 킴수키 그룹이 만든 악성코드는 2016년 70건, 2017년 133건, 2018년 261건, 2019년 296건이 발견되는 등 증가 추세다. 사이먼 최 이슈메이커스랩 대표는 “킴수키 그룹은 최근 국내는 물론이고 해외 외교 기관 등을 대상으로 공격을 확장하고 있다”고 말했다.

신무경 기자 yes@donga.com