“평소에 잘 알고 지내던 지인이 온라인 메신저로 파일 보내서 열어 본 건데…”

국가 배후 사이버 위협 그룹들이 국내 메신저 단체 대화방을 활용해 악성파일을 배포하고, 해킹과 원격 접속을 통한 피싱 공격을 한 정황이 포착돼 주의가 필요하다.

5일 지니언스시큐리티센터의 ‘K 메신저로 유포된 APT37 그룹의 악성 HWP 사례 분석’ 보고서에 따르면 지난해 한국을 표적으로 한 다양한 지능형지속위협(APT) 공격이 있었다.

그중 대표적 위협 유형을 꼽는다면 LNK(바로가기) 파일을 빼놓을 수 없을 만큼 많은 사례가 식별됐는데, 이와 더불어 지난해 하반기에는 HWP(한글) 파일을 사용한 공격도 다수 발견됐다고 지니언스[263860]는 설명했다.

한국을 겨냥한 사이버 위협 그룹들은 주로 스피어 피싱(표적 온라인 사기) 공격, 워터링 홀 공격, 소프트웨어 공급망 공격, 사회관계망 공격, 프리랜서 아웃소싱 공격 등 5가지 수법을 활용하고 두 개 이상을 결합하는 것으로 알려졌다.

대표적인 사례는 지난해 11월 13일 늦은 오후, 특정 K 메신저(카카오톡)의 단체 대화방에 2가지 유형의 파일이 전달된 건이다.

당시 전달된 파일명은 ‘북러 밀착과 중국의 대북 압박이 북한 체제에 미치는 영향.hwp’와 ‘북러 밀착 후 중국 정부의 대북정책 변화.lnk’이다. 위협 행위자는 약간의 시차를 두고 서로 다른 유형의 악성파일을 사용했다.

지니언스 분석 결과 초기 유입은 스피어 피싱 공격으로 밝혀졌다. 단말 침투에 성공한 후 일정 기간 잠복을 유지하며 정찰했고, 이용자의 PC용 K 메신저에 몰래 접근해 여러 대화방에 악성파일을 추가 유포한 것이다.

지니언스는 “평소에 잘 알던 지인이 온라인 메신저로 파일을 보내올 경우, 별다른 의심 없이 파일을 열람할 수 있다는 점에서 위험 노출 가능성이 커질 수 있다”고 강조했다. 바로 위협 행위자가 신뢰 기반 공격 전술을 쓰는 이유이다.

지니언스는 안드로이드 스마트 기기는 상대적으로 안전하나 공식 마켓이 아닌 곳에서 APK 앱을 받아 설치할 경우 위험할 수 있으니 각별히 유의해야 한다고 당부했다.

이 밖에도 특정인의 강의자료나 사적 대화 내용을 미끼로 한 사례 등을 들면서 한국을 겨냥한 APT 공격에서 LNK, HWP 기반 악성파일이 높은 점유율을 보인다고 설명했다.

그러면서 “평소 알고 지내며 신뢰할 수 있는 지인이 보낸 파일이라도, 신분이 도용돼 공격에 악용될 수 있다는 점을 반드시 명심하고 보안 메시지가 뜰 경우 ‘취소’를 누르는 게 안전하다”고 당부했다.