‘외교 학술회의 문서’ 조심…“北연계 해커의 메일입니다”

PDF문서처럼 위장된 2중 확장자의 LNK 악성파일 화면 (이스트시큐리티 제공)

남북 외교·안보 학술회의 토론 발제문 요청 이메일로 위장한 북한 연계 해킹 공격이 등장해 주의가 요구된다.

2일 이스트시큐리티에 따르면, 최근 국내 외교·안보·통일 분야 종사자와 학술회의 참석자를 대상으로 일정 문의나 자료 요청 같은 내용의 이메일 해킹이 잇따르고 있다.

공격 수법은 회신 메일을 보인 사람들에게 선별 접근하는 일명 ‘투 트랙 스피어 피싱’(Spear Phishing)이다.

처음에는 일반 문의사항처럼 평소 흔하게 접할 수 있는 내용을 담아 메일을 보냈는데, 이때는 별도 첨부파일이나 인터넷 주소(URL) 링크를 의도적으로 넣지 않았다.

특히 해커들이 보낸 메일에서는 정상 PDF 문서처럼 보이도록 이중 확장자로 만든 ‘바로가기’(LNK) 유형의 악성파일이 발견됐다.

예를 들어 [중요 자료.PDF.LNK] 파일이 있다면 ‘LNK’ 확장자 부분은 윈도우 운영체제(OS)에서 보여지지 않아 실제로는 [중요 자료.PDF] 파일처럼 보여지는 원리를 악용한 것.

이 ‘바로가기(LNK)’ 파일에는 ‘mshta.exe’ 프로그램을 통해 특정 웹 서버(ark6835.scienceontheweb[.]net)로 몰래 통신을 시도하는 명령이 숨어 있다. 해당 서버는 유사한 북한 연계 해킹 공격에서 꾸준히 발견되는 곳 중 하나다.

겉으로 PDF 문서처럼 보이는 파일을 메일로 받으면 2중 확장명 여부 등을 꼼꼼히 살펴보는 적극적 노력이 필요하다고 이스트시큐리티 측은 설명했다. 압축 파일 내부 목록을 먼저 살펴보고 접근해야 한다는 뜻이다.

문종현 이스트시큐리티 ESRC센터장(이사)은 “연말연시의 들뜬 분위기를 노린 경우와 송년회·학술대회 등을 사칭한 공격에 각별한 주의가 필요하다”고 말했다.

(서울=뉴스1)