MS보안팀 사칭 악성코드 발견…韓겨냥 ‘나왈랫’ 신종 악성코드

마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드가 발견돼 이용자들의 각별한 주의가 요구된다.15일 국내 보안 기업 지니언스에 따르면 최근 한국 사용자를 겨냥해 악성코드 ‘나왈랫’(NarwhalRAT)이 유포되고 있는 것으로 파악됐다.이는 북한 연계 해킹조직 APT37의 소행으로 의심된다고 지니언스 측은 설명했다.이 공격은 “MS 계정에서 일회용 인증코드(OTP)가 반복 생성되는 이상 징후가 감지됐다”는 내용의 스피어피싱 이메일로 시작된다.특히 발신자명이 ‘Microsoft 계정 팀’으로 표시돼 MS 보안팀으로 오인해 이메일 클릭을 유도하고 있다. 하지만 실제 발신 도메인은 MS 공식 도메인이 아니다.메일에는 보안 안내문이 첨부됐다. 압축 파일을 풀면 한글 문서처럼 보이는 악성 바로가기(.lnk) 파일이 나타난다. 이를 실행하면 겉으로는 정상적인 보안 안내 문서가 열리지만, 그 이면에서는 악성코드 설치가 진행되는 구조다.이번에 파악된 ‘나왈랫’은 공격자의 원격 명령에 따라 30종 이상의 기능을 선택적으로 가동할 수 있다. 키보드 입력 기록, 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등이다.특히 피해자 PC에서 어떤 프로그램을 사용하고 어떤 서비스에 접속하는지 화면과 키 입력을 통해 실시간으로 파악할 수 있는 구조다. 지니언스는 이를 APT37의 소행으로 보고 있다. 이번 공격이 지난해 5월 공개된 APT37의 공격 사례와 높은 유사성을 보인다는 점에서다.지니언스는 “향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화해야 한다”고 권고했다.박세정 기자