하우리(대표 김희천)는 북한 동해위성 발사대 건설을 이용한 악성코드가 발견되었다고 10일 밝혔다. 지능형지속위협(APT) 공격용 악성문서다.
북한 정세와 안보 변화를 예의주시하고 있는 특정조직이나 국가기관을 노린다. 해당 메일에는 악성코드가 숨겨진 워드 문서가 첨부된다. 메일을 받은 사용자는 아무런 의심 없이 첨부파일을 열람해 악성코드에 감염될 가능성이 높다.
악성코드에 감염되면 북한이 동해위성 발사대 건설을 재개했다는 내용의 영문문서(.doc)가 보인다. 문서에는 북한 무수단리 동해위성 발사대 시설 확장과 관련된 사진이 포함됐다. 겉으론 문서로 보이지만 뒤에선 악성코드가 생성된다. 감염된 PC의 논리 드라이브 정보와 현재 시스템에서 실행된 프로세스 정보를 압축해 특정 게시판에 등록한다.
김정수 하우리 보안대응센터장은 “해당 악성코드 감염 시 시스템 환경 정보를 유출해 조직내부에서 사용 중인 특정프로그램과 설치경로를 파악할 수 있다”며 “제 2의 해킹공격을 위한 사전정보로 활용될 가능성이 높다”고 설명했다.
김인순기자 insoon@etnews.com