'Microsoft 계정 팀' 메일 주의...PC 통째로 털린다

마이크로소프트(MS)를 사칭한 이메일을 통해 한국 사용자들의 PC에 침투하는 신종 악성코드가 확산하고 있어 주의가 요구된다. 15일 보안업체 지니언스에 따르면 최근 국내 사용자를 겨냥한 원격제어 악성코드 '나왈랫(NarwhalRAT)'이 유포되고 있는 것으로 파악됐다. 지니언스는 악성코드의 구조와 동작 방식 등이 북한 연계 해킹조직 APT37이 사용해온 공격 기법과 상당 부분 일치한다고 분석했다.공격은 “MS 계정에서 이상 징후가 감지됐다”는 내용의 이메일에서 시작된다. 발신자명은 'Microsoft 계정 팀'으로 표시되지만 실제 주소는 MS 공식 도메인이 아니다. 이메일은 계정 유출 가능성을 경고하며 첨부된 안내문 확인을 유도한다. 압축파일 속 바로가기 파일을 실행하면 화면에는 그럴듯한 문서가 나타나지만, 백그라운드에서는 악성코드가 설치되기 시작한다. 사용자가 이상 여부를 알아차리기 어렵도록 위장한 수법이다.특히 해당 악성코드는 컴퓨터 내부에 'naverwhale'이라는 이름의 폴더를 생성하는 것으로 확인됐다. 국내 이용자들에게 친숙한 네이버 웨일 브라우저 명칭을 활용해 의심을 피하려는 의도로 해석된다. 내부 코드에는 카카오톡 관련 창을 별도로 처리하는 기능도 포함돼 있다. 이 역시 한국 사용자 환경을 겨냥해 설계된 것으로 보인다.나왈랫은 키보드 입력을 기록하는 키로깅과 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등 30여 종의 기능을 수행할 수 있다. 수집된 정보는 즉시 외부로 전송하지 않고 내부에 저장했다가 한꺼번에 전송해 보안 시스템의 탐지를 우회한다.지니언스는 이번 공격이 지난해 공개된 북한 APT37의 백도어 공격과 높은 유사성을 보인다고 설명했다. 미끼 문서의 저장자명과 악성 파일 구조, 난독화 방식, 작업 스케줄러를 활용한 지속성 확보 기법 등이 거의 동일하다.지니언스 관계자는 "유사한 변종 공격이 지속적으로 등장할 가능성이 높은 만큼 파일 탐지뿐 아니라 행위 기반 탐지 체계를 강화할 필요가 있다"고 당부했다.