북한 해킹조직 김수키와 연관된 것으로 알려진 악성코드 ‘KimJongRAT’이 국세 고지서 파일로 위장해 국내 이용자를 겨냥해 퍼지고 있는 것으로 드러났다. 보안 업계는 hta 기반 원격 실행 방식을 활용한 정밀 공격이라며 경고를 내놓았다.
국내 보안업체 이스트시큐리티 시큐리티대응센터는 KimJongRAT이 hta 파일 형태로 유포되고 있으며, 최근 발견된 샘플이 ‘국세 고지서 pdf.zip’이라는 이름으로 피싱 메일을 통해 전파된 정황을 확인했다고 밝혔다. 압축 파일 내부에는 국세고지서.pdf로 위장한 LNK 바로가기 파일이 포함돼 있었다.
사용자가 이를 실행할 경우 내부에 인코딩된 값이 URL로 복원되며, 특정 주소로 접속해 hta 파일을 내려받도록 구성됐다. 이후 hta 실행과 동시에 디코이용 미끼 파일과 실제 악성 페이로드가 함께 다운로드된다.
센터는 이번 공격이 윈도우 보안 프로그램의 활성 여부에 따라 서로 다른 데이터를 내려받는 정교한 구조를 갖고 있다고 밝혔다. 보안 기능이 꺼져 있을 때와 켜져 있을 때 각각 다른 파일을 받아 사용자 정보를 주기적으로 수집·전송하는 방식이다.
센터는 KimJongRAT이 국내 환경에서 수집 가능한 정보를 정밀하게 노린 점을 들어 “국내 사용자를 타깃으로 한 맞춤형 악성코드로 제작된 것으로 보인다”고 분석했다.
또한 레거시 시스템이나 보안 설정이 미흡한 환경에서는 여전히 높은 공격 효과를 낼 수 있다며 윈도우와 소프트웨어 업데이트를 최신으로 유지할 것을 권고했다. 파일 실행 전 확장자를 반드시 확인하고, 파일 탐색기에서 확장자 표시 기능을 활성화해야 한다고 덧붙였다.
About the Author
