“계정 해킹됐다” MS 보안팀 사칭 메일 주의보…첨부파일 여는 순간....

[픽사베이]마이크로소프트(MS) 보안팀을 사칭한 이메일을 통해 한국 이용자를 노리는 신종 악성코드가 발견됐다. 북한 연계 해킹조직의 소행으로 추정되는 이 악성코드는 키보드 입력 기록부터 마이크 녹음까지 가능해 사용자들의 각별한 주의가 요구된다.15일 보안업체 지니언스에 따르면 최근 북한 연계 해킹조직 APT37이 제작한 것으로 의심되는 원격제어 악성코드 ‘나왈랫(NarwhalRAT)’이 국내 사용자를 겨냥해 유포되고 있는 것으로 확인됐다.공격은 “MS 계정에서 일회용 비밀번호(OTP)가 반복 생성되고 있다”는 내용의 스피어피싱 이메일로 시작된다. 메일 발신자는 ‘Microsoft 계정 팀’으로 표시되지만 실제 발신 주소는 공식 MS 도메인이 아닌 것으로 파악됐다.이메일은 계정 탈취 가능성을 경고하며 첨부된 보안 안내문 확인을 유도한다. 사용자가 압축파일을 내려받아 실행하면 한글 문서처럼 보이는 바로가기(.lnk) 파일이 나타나는데, 이를 클릭하는 순간 악성코드 설치가 진행된다.겉으로는 정상적인 안내 문서가 열리지만 백그라운드에서는 시스템 감염이 이뤄지는 방식이다.지니언스는 이 악성코드가 설치 과정에서 ‘naverwhale’(네이버웨일)이라는 이름의 폴더를 작업 디렉터리로 생성하는 점에 주목했다. 국내 이용자들에게 익숙한 네이버 웨일 브라우저를 연상시키는 이름을 활용해 의심을 피하려는 의도로 분석된다.악성코드 이름인 ‘NarwhalRAT’도 해당 폴더명과 일각고래(Narwhal)를 결합해 붙여졌다.특히 내부 코드에는 카카오톡 관련 창을 별도로 식별하는 기능도 포함된 것으로 확인됐다. 불필요한 데이터를 걸러내고 수집 정확도를 높이기 위한 것으로, 한국 사용자 환경을 고려해 제작된 정황으로 해석된다.나왈랫은 공격자의 명령에 따라 키보드 입력을 기록하는 키로깅 기능은 물론 화면 캡처, 마이크 녹음, USB 저장장치 파일 탈취, 원격 명령 실행 등 30종이 넘는 기능을 수행할 수 있다.사용자가 어떤 사이트에 접속하고 어떤 프로그램을 사용하는지 실시간으로 파악할 수 있는 사실상 원격 감시 도구인 셈이다.탈취한 정보는 즉시 외부 서버로 전송하지 않고 내부 저장소에 임시 보관한 뒤 한꺼번에 전송한다. 보안 솔루션의 실시간 탐지를 우회하기 위한 수법으로 분석된다.지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례 상당 부분 유사하다고 설명했다. 미끼 문서의 최종 저장자명이 ‘Lailey’로 동일하고, 악성 바로가기 파일 구조와 배치파일 난독화 방식, 작업 스케줄러를 이용한 지속성 확보 기법 등이 거의 동일하다는 것이다.지니언스 관계자는 “향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화해야 한다”고 전했다.