"우리 이혼하자" 위장 메일 주의...한국 사회 꿰뚫은 北 해커조직 소행

‘협의이혼 의사확인 신청서’ 워드파일 첨부한 악성 메일 유포

워드파일 열면 매크로 자동 실행되면서 악성코드 깔려

북한 배후로 있는 해킹조직 ‘스모크 스크린' 소행으로 파악

북한의 지원을 받는 해커 조직이 이혼 소송 서류가 담긴 메일로 위장해 악성코드를 유포한 것으로 확인됐다.

보안업체 이스트시큐리티 시큐리티대응센터(ESRC)는 최근 '협의이혼 의사확인 신청서'라는 제목의 워드파일이 첨부된 악성 메일이 유포된 정황이 포착됐다고 밝혔다.

해당 메일에는 공격자로 하여금 원격 접근이 가능하도록 허용하는 악성코드 '콰사르RAT(QuasarRAT)'가 담겼다.

사용자가 파일을 실행하면 상단에 '콘텐츠 사용' 버튼을 클릭하도록 유도한 후 협의이혼 의사확인 신청서 양식을 보여준다. 이와 동시에 워드파일에 포함된 매크로가 자동 실행되면서 악성코드가 깔리게 된다. 매크로가 실행되면 각종 악성파일을 실행하는 과정을 거쳐 콰사르RAT를 실행하게 된다. 이후엔 해커가 원격으로 접근하고 각종 정보를 수집할 수 있다.

ESRC 측은 "일반 워드파일의 형식은 '.doc'이지만 메일에 첨부된 파일 형식은 '.hwp' 로 보여진다"고 지적하면서 "해커들이 법원 전자민원센터에서 제공하는 한글파일(.hwp)을 워드파일(.doc)로 저장해 공격에 사용한 것으로 추측된다"고 설명했다.

ESRC는 여러 지표들을 분석한 결과, 이번 공격은 북한이 배후로 있는 해킹 조직 '스모크 스크린(Smoke Screen)'의 소행으로 결론지었다.

앞서 북한 해킹조직은 외교·통일·국방관련 기관의 주요 인사를 대상으로 업무관계자 또는 지인을 가장해 행사 '초청장' 제목의 악성 이메일을 유포하기도 했다.

ESRC 측은 "북한정찰총국의 지원을 받는 해커 조직의 국내 공격이 거세지고 있다"며 "의심이 가는 파일 실행은 피하고 백신 설치로 안전한 보안 환경을 조성해야 한다"고 당부했다.