1년 이상 탈북자와 대북단체를 노린 해커 또는 해킹 집단이 있다는 보안업체의 분석 결과가 나왔다.

잉카인터넷은 최근 대북단체 소속 사람들에게 한글워드프로세서 문서파일(HWP) 형태로 발송된 악성파일을 분석한 결과, 지난해 6월쯤 탈북자들에게 발송된 것과 동일한 제작자나 조직이 만든 정황 증거가 확인됐다고 16일 밝혔다.

이번에 발송된 파일은 세종연구소의 수석연구원이 작성한 것으로 위장돼 있다.

실제 파일을 실행하면 정상적인 문서 파일이 보이지만 보안 취약점을 이용해 컴퓨터에 새로운 악성 파일을 몰래 설치한다.

이 파일에 감염되면 홍콩 소재의 특정 명령제어(C&C) 서버로 접속을 시도해 공격자의 추가 명령을 수행하는, 일명 ‘좀비PC’가 될 수 있다. 또 정보 유출 피해도 당할 수 있다.

악성파일이 접속을 시도하는 C&C 서버는 지난해 탈북자 인적 사항으로 위장한 HWP 파일의 C&C 주소와 100% 일치하고, 정상 프로그램인 ‘rundll32.exe’ 프로그램을 통해 악성파일인 ‘GooglePlay.dll’ 파일을 동작시키는 구조로 돼 있다.

또 ‘mscmos.sys’ 파일을 이용하는 점과 아이콘과 중국어 프로그래밍 언어를 쓰는 것도 지난해 발견한 악성파일과 동일하다.

현재는 한국인터넷진흥원(KISA) 등 관계기관과 연계해 해당 C&C 서버의 접속이 차단 조치된 상황이다.

국민일보 쿠키뉴스 김현섭 기자 기사모아보기