/사진=이스트시큐리티
/사진=이스트시큐리티

남북한과 러시아 사이의 경제관계에 관련된 투자문서를 사칭한 악성파일이 국내에서 유포됐다.

보안기업 이스트시큐리티는 27일 “남한과 북한, 러시아의 무역과 경제관계에 관한 투자설명서로 위장한 악성파일이 이메일을 통해 국내에 유포 중이다”고 밝혔다. 이번 공격에는 특정 대상을 타깃으로 하는 ‘스피어피싱’이 사용된 것으로 보인다.


이메일은 러시아어로 제작됐다. 이를 우리말로 번역하면 ‘러시아·한국·북한 무역 및 경제 관계 투자’로 무역관련 종사자가 그 타깃이라는 분석이다.

다만 악성파일은 한국어를 기반에서 제작된 것으로 추정되며 문서파일을 실행하면 ‘러시아어 텍스트로 설정된 언어 교정 도구 없음’이라는 알림창이 팝업된다. 이때 사용자가 ‘콘텐츠 사용’ 확인 버튼을 누르면 매크로가 실행되면서 사전에 계획된 악성파일을 다운받아 PC를 감염시킨다.


이스트시큐리티 시큐리티대응센터(ESRC)는 “악성파일을 분석한 결과 해킹조직 ‘김수키’가 제작한 것으로 알려진 ‘코니’와 유사한 점이 많다”며 “이번에 발견된 악성파일도 김수키와 연관됐을 것으로 추정된다”고 말했다.

한편 김수키는 2010년대부터 국방부, 통일부 등 정부조직 해킹을 시도 중인 북한의 해킹 조직으로 추정된다.