【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]北 해커, 이번에는 'MS 계정팀' 사칭…파일 누르니 '좀비PC'로

온카뱅크관리자

2026-06-22 07:47:29

<div id="layerTranslateNotice" style="display:none;"></div> 지니언스 "국내 사용자 노린 공격 포착…北 연계 해킹조직 파악" 메일 내 첨부파일 누르면 '원격제어' 가능한 악성코드 설치 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="GPRLOtb0Z6">
 <figure class="figure_frm origin_fig" contents-hash="3b014b92a5eda5678e9a78885658c437048fba725be34d102ebb7d684892d18d" dmcf-pid="HQeoIFKp58" dmcf-ptype="figure">
 <img alt="챗GPT 생성 이미지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/22/NEWS1/20260622074001752eksm.jpg" data-org-width="1400" dmcf-mid="WsmFfasAGQ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/22/NEWS1/20260622074001752eksm.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 챗GPT 생성 이미지
 </figcaption>
 </figure>
 (서울=뉴스1) 이민주 기자 = 생성형 인공지능(AI) 기반 딥페이크로 공무원을 사칭해 국내 안보·대북 분야 관계자를 노렸던 북한 해킹조직이 최근에는 마이크로소프트(MS) 계정팀으로 위장한 피싱 메일로 악성코드 유포에 나선 정황이 드러났다.
 이번 공격에는 키로깅과 화면 캡처, USB 파일 수집, 원격 명령 실행 등이 가능한 원격제어 악성코드(RAT)가 사용된 것으로 분석됐다.
 22일 지니언스 시큐리티센터는 최근 북한 연계 해킹조직 APT37이 MS 계정 보안 경고 안내문으로 위장한 이메일을 통해 국내 사용자를 노린 공격을 수행한 정황을 포착했다고 밝혔다.
 지니언스에 따르면 공격은 '[긴급] 일회용 인증코드(OTP) 반복 발생에 따른 보안 점검 안내'라는 제목의 스피어피싱 메일을 통해 진행됐다.
 해커는 이 메일 발신자를 'Microsoft 계정 팀'으로 표시해 마치 공식 계정 보안팀에서 발송한 것처럼 사칭했다. 그러나 실제 발신 도메인은 MS의 공식 소유 도메인이 아니다.
 본문은 불안감을 조성해 첨부파일을 실행하도록 하기 위해 '최근 MS 계정에서 일회용 인증코드가 반복 생성되는 비정상 행위가 감지됐다'고 안내하는 내용으로 구성했다. 그러면서 자세한 보안 위협과 대응 방법을 확인하려면 첨부된 보안 안내문을 확인하라고 했다.
 첨부파일은 HWP 확장자의 한글파일로 위장됐지만 실제로는 압축(ZIP) 파일이었으며 내부에는 악성파일이 포함됐다.
 수신자가 첨부파일을 실행하면 악성 파일이 단계적으로 설치되고 이후 키로깅·화면 캡처·USB 파일 수집·원격 명령 실행 등이 가능한 원격제어 악성코드(RAT) 'NarwhalRAT'이 설치되는 구조다. 키로깅은 사용자가 키보드로 입력하는 내용을 몰래 기록하는 행위를 말한다.
 이후 해커가 원격으로 명령을 내려 키로깅과 화면 캡처, 마이크 녹음, USB 파일 수집 등의 기능을 선택적으로 실행하는 식이다.
 공격자는 공격 기법과 악성코드 구조, 미끼 문서 등을 종합할 때 지난달 공개된 딥페이크 공무원 사칭 공격과 동일 계열 활동일 가능성이 높다고 분석됐다.
 APT37 그룹으로 불리는 해당 조직은 북한 국무위원회 체계에 속한 정보기관인 국가정보국(구 국가보위성)과 연계된 사이버 위협 행위자로 추정된다. 이 조직은 대북 분야 인사를 대상으로 악성 사이버 스파이 활동과 자국의 이익을 위한 방첩 활동 등을 벌여왔다.
 <figure class="figure_frm origin_fig" contents-hash="79dd2d33df734774d690183606ef338f9bd121b4720a16245c2e0c806450ea49" dmcf-pid="794MkYpX1u" dmcf-ptype="figure">
 <img alt="스피어피싱 이메일 화면 (지니언스 보고서 갈무리)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/22/NEWS1/20260622074003107vglv.jpg" data-org-width="625" dmcf-mid="YQsS0PoMZP" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/22/NEWS1/20260622074003107vglv.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 스피어피싱 이메일 화면 (지니언스 보고서 갈무리)
 </figcaption>
 </figure>
 다만 지난번 공격이 북한 연구자, 북한 인권 활동가, 기자, 군·안보 관련 종사자 등을 주요 표적으로 삼았던 것과 달리 이번 공격은 특정 직군을 겨냥했다는 정황은 확인되지 않았다. 지니언스는 불특정한 국내 사용자를 겨냥한 공격이라고 봤다.
 지니언스는 이 같은 공격에 대응하기 위해서는 단순 악성코드 탐지를 넘어 LNK 파일(윈도우 바로가기 파일 형식) 실행, PowerShell(명령어 실행 도구) 호출, 예약 작업 생성 등 공격 전 과정을 추적할 수 있는 행위 기반 보안 체계가 필요하다고 강조했다.
 지니언스는 "지난달 공개한 딥페이크 공무원 사칭 공격에 사용된 미끼 문서와 이번 공격에 활용된 문서의 마지막 저장자명이 동일하게 확인됐고 문서 구성 역시 대부분 유사했다"며 "동일 계열 공격으로 판단되는 만큼 의심스러운 첨부파일 실행을 자제하고 행위 기반 탐지 체계를 강화할 필요가 있다"고 당부했다.
 한편 최근 북한은 최근 생성형 AI와 딥페이크 기술을 사이버 공격에 적극 접목하며 해킹 수법을 빠르게 고도화하고 있다.
 국가정보원 국가사이버안보센터가 최근 발간한 '2025 국가사이버안보센터 연례보고서'에 따르면 지난해 북한이 국내외 암호화폐 등을 해킹해 빼앗은 금전 규모는 2조 원 이상으로 역대 최대 규모다.
 글로벌 보안 기업 카스퍼스키가 최근 발간한 보고서에 따르면 북한 해킹 그룹 '김수키'가 사용한 백도어에서 대규모 언어 모델(LLM)로 코드를 작성한 정황이 확인되기도 했다. 김수키는 북한의 대표적인 대남 공작 조직 산하 해킹조직이다.
 minju@news1.kr &lt;용어설명&gt; ■ 키로깅 사용자가 키보드로 입력하는 내용을 몰래 기록하는 행위. 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기