‘230407 정보지,lnk’ ‘2023년도 개인평가 실시.hwp.lnk’
북한 해킹 조직이 이같은 파일로 위장한 악성코드를 유포하는 사례가 나와 주의가 요구된다.
23일 보안업체 안랩은 북한 해킹 조직 APT37이 링크(LNK) 파일을 통해 악성코드 ‘록랫(RokRAT)’을 유포하는 사례가 발견됐다고 밝혔다. 록랫에 감염되면 사용자의 이름이나 시스템 정보 등이 수집되고 이 정보는 클라우드 서비스를 이용해 공격자의 서버로 전송된다. 또 추가 악성코드를 다운로드 받거나 실행시킬 수 있는 기능이 있어 2차 피해가 발생할 수 있다.
안랩은 이같은 악성코드를 유포하는 해커 조직으로 북한의 APT37을 지목했다. 금성121, 그룹123, 레드아이즈 등의 이름으로 불리는 이 조직은 북한 당국의 지원을 받아 국내 대북 단체와 탈북자, 국방 분야 관계자를 공격해온 것으로 알려져있다. 이들은 지난해에는 ‘용산구 이태원 사고 대처 상황 - 2022.10.31(월) 06:00 현재'라는 제목의 파일을 만들고 여기에 악성코드를 심어 유포했고 2019년에는 ‘[통일부] 보도자료해명’이라는 제목의 이메일에 악성 코드를 심어 배포하기도 했다.
안랩은 “록랫 악성코드는 과거부터 꾸준히 유포되고 있는데 워드나 한글 문서 뿐만 아니라 최근에는 링크 등 다양한 형식의 파일을 통해 유포가 되고 있다”며 “첨부 파일명이 수상하거나 출처가 불분명하다면 절대 열지 말라”고 당부했다.