방송사와 일반 기업들도 북한 해킹조직 ‘김수키(Kimsuky)’가 만든 악성 코드의 공격 표적이 된 것으로 드러났다. 안보 분야 종사자를 대상으로 유포됐던 악성 코드의 대상이 대폭 확대된 것이다.
보안전문업체 안랩은 김수키가 만든 악성 코드가 자기소개서와 앱 서비스 제안서 등 형태로 유포되고 있다고 14일 밝혔다. 안랩은 1995년 창업한 안철수연구소의 후신으로 컴퓨터 바이러스 백신 프로그램을 개발해온 업체다.
유포가 확인된 파일명은 ‘[kbs 일요진단]질문지.docx’와 ‘임** 자기소개서.docx’ ‘app-planning-copy.docx’ 등이다. 이 파일을 내려받으면 포함돼 있던 악성 매크로가 작동되면서 cURL(Client URL) 명령어가 포함된 파일을 생성, 실행한다.
해당 파일에는 추가 악성 스크립트 다운로드·실행 코드가 있다. 실행할 경우 최근 연 워드 문서 목록, 시스템에 설치된 바이러스 백신 정보, 시스템 내 다운로드 폴더 경로 정보, 실행 중인 프로세스 정보 등이 외부로 유출된다.
안랩은 “처음에는 대북 관련 인사를 겨냥했던 악성 코드가 이제는 일반 기업 사용자를 대상으로도 유포되고 있다”고 설명했다. 그러면서 “발신자를 알 수 없는 메일의 첨부파일은 열람을 자제하고 오피스 문서에 포함된 매크로가 자동으로 실행되지 않도록 주의해야 한다”고 당부했다.
북한 해커조직 김수키는 2014년 한국수력원자력을 해킹해 원자력발전소 도면을 유출하며 이름을 알렸다. 이후에도 2016년 국가안보실을 사칭하는 이메일을 보내는 등 공공기관은 물론 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 여러 차례 해왔다.
송태화 기자 alvin@kmib.co.kr