`최순실 국정 농단` 사태를 이용한 악성코드가 발견됐다.
7일 한국인터넷진흥원(KISA)와 사이버보안업계는 지난 3일 `우려되는 대한민국`이란 제목의 한글파일을 첨부한 표적공격(스피어피싱)을 감지하고 경계령을 내렸다. 대규모 유포가 아닌 특정 기관이나 사람을 노린 공격이다. 공격자는 국내 한 북한 관련 단체 대표 명의로 특정 탈북자에게 이메일 공격을 시도했다. KISA는 관련 명령&제어(C&C)를 차단하는 등 긴급 대응했다.
`우려되는 대한민국` 파일은 `최순실 국정 농단으로 정국이 뒤집히고 박대통령의 하야 요구한다`는 내용을 담았다. `야당이 때를 만난 듯이 정부를 공격하고 비방하고 정권 탈취를 시도한다`는 내용도 포함됐다.
보안업계는 해당 이메일 분석 결과 북한발 악성코드로 규정했다.
공격에 쓰인 C&C서버 도메인주소가 과거 북한 공격 때와 일치한다. 지난해 9월부터 올해 1월까지 나타난 한글제로데이 익스플로잇 공격, 올해 8월 영국 소재 민주화 대표 신문인 자유북한을 이용한 워터링 홀 공격에 이용된 도메인주소가 같다.
이메일에 포함된 한글 첨부파일을 열면 북한 해커 지령을 받는 특정 서버에 연결된다. 공격자는 감염된 PC에 추가 악성파일을 내려 보낸다. 악성파일은 PC내 저장된 각종 파일을 빼돌린다.
북한은 올해 들어 탈북자를 노린 사이버 공격 수위를 높였다.
북한 해커는 최근 트위터로 공격을 지시한다. 감염된 PC는 해커가 만든 트위터 계정에 접속해 명령을 받고 PC 안에 내용을 유출한다. 트위터는 정상 서비스인 데다 서버가 해외에 있어 국내 차단이 쉽지 않다.
해당 문서 파일은 11월 3일 오전 11시 13분 마지막으로 저장됐다. 공격자는 최순실씨가 검찰 조사를 받으면서 국민 반감이 최고조에 오른 시점에 악성코드를 넣은 문서 파일을 만들고 공격을 감행했다. 마지막 저장한 사람은 영문으로 `말대가리(MalDaeGaRi)`로 표시했다. 특혜 의혹을 받고 있는 최순실 씨의 딸 정유라씨를 의미한 것으로 풀이된다.
국내 백신은 해당 악성코드를 진단한다. 관련 한컴오피스 취약점도 보안업데이트가 올라왔다. 백신과 한컴오피스 보안업데이트를 최신 상태로 유지하면 피해를 막는다.
보안 전문가는 “최순실 국정 농단 사태가 확산하면서 사회 이슈를 이용한 악성코드 공격을 예측했다”면서 “국내 정세를 이용한 사회 혼란 기법의 전형”이라고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
