국세 고지서 위장 파일. /이스트시큐리티

<이미지를 클릭하시면 크게 보실 수 있습니다>

북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관된 것으로 추정되는 KimJongRAT 악성코드가 국세 고지서 파일로 위장해 유포되고 있다. 국세 고지서로 위장된 파일을 실행하면 악성 파일이 다운로드돼 사용자 정보를 탈취하는 수법이다.

2일 정보통신기술(ICT) 업계에 따르면, 이스트시큐리티 시큐리티 대응센터는 김수키 그룹과 연관된 원격 액세스 트로이 목마 KimJongRAT이 HTA 파일로 퍼지고 있다는 리포트를 펴냈다. HTA 파일은 윈도우 프로세스를 활용해 인터넷에서 원격으로 HTA를 직접 실행할 수 있어 공격자가 자주 사용하는 방식 중 하나다.

해당 파일은 ‘국세 고지서.pdf(tax_notice).zip’ 파일명으로 유포됐으며, 피싱 메일로 최초 퍼진 것으로 추정되고 있다. 이 파일에는 ‘국세고지서.pdf’ 파일로 위장한 바로가기(LNK) 파일이 포함돼 있다. 이용자가 바로가기 파일을 실행하면 내부에 인코딩된 값이 URL 값으로 되돌려져 해당 URL에 접속하게 되고, 해당 URL에 접속하면 HTA 파일을 다운받게 된다. 이를 실행하면 디코이 파일(겉보기에 정상으로 보이는 미끼 파일)과 악성 파일이 다운로드되는 식이다.

센터는 이번 공격의 특징은 윈도우 보안 프로그램에 따라 각기 다른 데이터를 전송하는 점이라고 설명했다. 사용자 컴퓨터에 어떤 보안 프로그램이 깔려 있는지는 먼저 체크한 뒤, 그 상황에 맞는 악성 파일을 다시 내려보낸다는 것이다. 리포트에 따르면 공격자는 사용자의 보안 프로그램이 비활성화일 경우와 활성화 상태일 때 각기 다른 파일을 내려받은 뒤 주기적으로 사용자 정보를 수집해 전송한다. 수집 정보는 시스템 정보 및 브라우저 저장 데이터, 브라우저 암호화 키, 암호화폐 지갑 정보, 텔레그램, 디스코드, 공인인증서 등 다양하다.

센터는 국내에 특화한 정보를 탈취하는 것으로 보아, 이번 KimJongRAT가 국내 타깃으로 정밀하게 제작된 악성코드라고 봤다. 센터는 “마이크로소프트(MS)가 보안을 강화하고 있지만, 레거시 시스템이나 보안이 약하게 설정된 환경에서는 KimJongRAT이 여전히 매우 효과적인 공격 수단인 만큼 윈도우와 소프트웨어(SW)를 최신 버전으로 유지해야 한다”며 “파일 탐색기 내 파일 확장자명 보기 기능을 활성화하고, 파일을 실행하기 전 반드시 확장자를 확인해야 한다”고 했다.

한편 안랩의 ‘2025년 사이버 위협 동향 & 2026 보안 전망’ 보고서에 따르면, 김수키는 작년 10월부터 올해 9월 사이 김수키의 APT(지능형 지속 공격)가 27건인 것으로 파악됐다. APT는 국가적 차원에서 정교하고 장기적으로 이뤄지는 해킹 방식을 말한다.

[박선민 기자]

- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -