북한 추정 해킹조직, MS 사칭 악성코드로 한국 사용자 노린다

MS 보안팀 사칭 악성코드 발견

마이크로소프트 보안팀을 사칭한 이메일을 통해 한국 사용자 PC에 침투하는 신종 악성코드가 발견되었습니다. 북한 연계 해킹 조직의 소행으로 추정되는 이 악성코드는 키보드 입력 기록이나 마이크 녹음 등 30종 이상의 기능으로 시스템을 장악할 수 있는 것으로 나타났습니다. 최근 북한 연계 해킹 조직 APT37의 소행으로 추정되는 악성코드 ‘나왈랫(NarwhalRAT)’이 국내 사용자를 대상으로 유포되고 있는 것으로 확인되었습니다.

 

 

 

 

악성코드 유포 방식 및 특징 분석

공격은 MS 계정에서 일회용 인증 코드(OTP)가 반복 생성되는 이상 징후가 발견되었다는 내용의 피싱 이메일로 시작됩니다. 이메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문을 확인하도록 유도하며, 압축 파일을 풀면 한글 문서처럼 보이는 악성 바로 가기(.lnk) 파일이 나타납니다. 이를 실행하면 정상적인 보안 안내 문서가 열리는 동시에 악성 코드 설치가 진행됩니다.

 

 

 

 

한국 사용자 맞춤형 악성코드의 정황

악성 코드는 PC 내부에 ‘naverwhale’이라는 이름의 폴더를 생성하여 국내에서 널리 쓰이는 네이버 웨일 브라우저로 위장하려는 의도를 보입니다. 또한, 내부 코드에는 카카오톡 관련 창을 정보 수집 대상에서 별도로 처리하는 로직이 포함되어 있어 한국 사용자 환경을 고려해 개발된 정황이 분석됩니다. 나왈랫은 공격자의 원격 명령에 따라 키보드 입력 기록, 화면 캡처, 마이크 녹음 등 30종 이상의 기능을 선택적으로 수행할 수 있습니다.

 

 

 

 

결론: 지속적인 위협과 대응 방안

이번 공격은 지난해 공개된 북한 연계 해킹 조직 APT37의 백도어 공격 사례와 구조 및 수법 면에서 높은 유사성을 보입니다. 향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화해야 합니다. 보안 기업 지니언스는 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화할 것을 권고했습니다.