'MS 보안팀' 사칭해 침투…클릭한 순간 PC 다 털린다 작성일 06-15 40 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">북한 연계 해킹조직 신종 악성코드 '나왈랫' 국내 유포<br>네이버 웨일 위장해 회피…철저한 한국 겨냥 해킹 수법</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="uWiRNzztWF"> <figure class="figure_frm origin_fig" contents-hash="6dedf66a543860eaa0fcec99de377d58aa078379e2462aaecc1280ef995e7c16" dmcf-pid="7YnejqqFWt" dmcf-ptype="figure"> <p class="link_figure"><img alt="지니언스 분석 공격 흐름도. 지니언스 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/15/kyeonggi/20260615104642108fuow.jpg" data-org-width="500" dmcf-mid="p4ylZaael0" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/15/kyeonggi/20260615104642108fuow.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지니언스 분석 공격 흐름도. 지니언스 제공 </figcaption> </figure> <p contents-hash="f734b481acf9295a10474ff0a5617d68f4f0060cf28b9906e065e6bde5cc9ee8" dmcf-pid="zGLdABB3S1" dmcf-ptype="general"><br> 마이크로소프트(MS) 보안팀을 사칭한 이메일로 국내 사용자들의 PC에 침투하는 신종 악성코드가 발견돼 각별한 주의가 요구된다. </p> <p contents-hash="27de32209d6a59a9c558ec41de79e14da6f15f0b3fdb9aebe331acb2326b9100" dmcf-pid="qHoJcbb0T5" dmcf-ptype="general">북한 연계 해킹조직의 소행으로 강력히 의심되는 이 악성코드는 키보드 입력 기록 탈취부터 마이크 녹음까지 30종이 넘는 원격 제어 기능을 갖추어 피해자의 시스템을 완전히 장악할 수 있는 것으로 드러났다. </p> <p contents-hash="391b8045f77a0dc1d2ab84bd05604fc4a3dad89017da78d60618e5a5d1aa1ded" dmcf-pid="BXgikKKphZ" dmcf-ptype="general">15일 국내 보안 기업 지니언스에 따르면, 최근 북한 연계 사이버 해킹조직 'APT37'의 소행으로 추정되는 신종 악성코드 '나왈랫(NarwhalRAT)'이 국내 사용자를 표적 삼아 급격히 유포되고 있다. </p> <p contents-hash="aafb26acb46975a6c56f7d383e58b1afe7f54d1508ee5c85ff5208953e598ab5" dmcf-pid="bZanE99UTX" dmcf-ptype="general">이번 공격은 "귀하의 MS 계정에서 일회용 인증코드(OTP)가 반복적으로 생성되는 이상 징후가 감지됐다"는 내용의 정교한 스피어피싱(구체적인 표적을 노린 이메일 해킹) 기법으로 시작됐다. </p> <p contents-hash="1c776f5f8b4e30c1b0209cb9246f0d747a1b700fb4d765082e73f86cd0b1beb4" dmcf-pid="K5NLD22uWH" dmcf-ptype="general">이메일 발신자명은 'Microsoft 계정 팀'으로 교묘하게 표시돼 있으나, 실제 발신 도메인을 추적한 결과 MS 공식 도메인이 아닌 위조된 주소인 것으로 확인됐다. </p> <p contents-hash="1f115074705ab25c34659fb04ddb027ac596855579948ecec6db408858ee84f9" dmcf-pid="9gu3KhhDTG" dmcf-ptype="general">해당 메일은 계정 탈취 가능성을 경고하며 첨부된 보안 안내문 확인을 유도한다. </p> <p contents-hash="29c75a1e1aea18cc3e2f36af9f1fc4a8b4f13a8c40949b9a9adda317eabbf6ca" dmcf-pid="2a709llwCY" dmcf-ptype="general">피해자가 압축 파일을 해제하면 한글 문서(.hwp)처럼 위장한 악성 바로가기(.lnk) 파일이 나타난다. 이를 실행하는 순간 화면에는 정상적인 안내 문서가 출력되지만, 백그라운드에서는 악성코드가 자동으로 다운로드 및 설치되는 구조다. </p> <p contents-hash="8d5833df2b60b53ddb24d809f8b9405a6a2a3cfc8287ac9a6fd0361e57ebec26" dmcf-pid="VNzp2SSrTW" dmcf-ptype="general">지니언스는 이 악성코드가 설치된 후 컴퓨터 내부에 'naverwhale(네이버웨일)'이라는 폴더를 작업 디렉터리로 생성한다는 점에 착안해, 일각고래를 뜻하는 'Narwhal'과 아나그램(문자 재배열)을 결합해 '나왈랫(NarwhalRAT)'이라는 이름을 붙였다. </p> <p contents-hash="d4ae68a5823cf789e5e8d09e7842a1d5012b4bb96b67ffe4382d1797555b21bd" dmcf-pid="fjqUVvvmyy" dmcf-ptype="general">보안업계는 해커들이 국내에서 대중적으로 쓰이는 네이버의 '웨일 브라우저' 폴더로 위장해 보안 프로그램의 탐지를 피하려 한 것으로 보고 있다. </p> <p contents-hash="8670bad9648d6dd65dbd67957b3fbc39b054704619b9c150b40048edffa580a9" dmcf-pid="4ABufTTslT" dmcf-ptype="general">실제로 내부 코드 분석 결과, 국내 메신저인 '카카오톡'의 알림창이나 보조창 등 불필요한 정보 수집 대상을 따로 걸러내 해커가 원하는 데이터의 정확도를 높이는 전용 로직까지 포함된 것으로 밝혀졌다. </p> <p contents-hash="e0d636e1b97cd1153ea46c872763511adeed5a7eafc640e2580ee1beb651e8fe" dmcf-pid="8cb74yyOyv" dmcf-ptype="general">나왈랫의 파괴력은 막강하다. </p> <p contents-hash="f2af2c334e91d88bd8d015246caa48b0656a31a52017679c198e14d2f68df870" dmcf-pid="6kKz8WWISS" dmcf-ptype="general">공격자의 원격 명령에 따라 ▲키보드 입력 실시간 기록(키로깅) ▲화면 캡처 ▲PC 마이크를 통한 주변 음성 녹음 ▲USB 저장장치 내 파일 탈취 ▲원격 명령 실행 등 30여 가지의 기능을 선택적으로 수행할 수 있다. </p> <p contents-hash="28b39e1cd2034fefd58daefb8a08fd2dfc3dc1dd92d824baf1da1d999e96a6d6" dmcf-pid="PE9q6YYCll" dmcf-ptype="general">사실상 피해자가 어떤 프로그램을 쓰고 어떤 웹사이트에 접속하는지 실시간으로 들여다볼 수 있는 셈이다. </p> <p contents-hash="04a59ad2403860574fa5783ad14c7514e65702a4591069cfc6fb725a793dec40" dmcf-pid="QD2BPGGhlh" dmcf-ptype="general">특히 수집된 데이터는 실시간 네트워크 탐지 시스템을 우회하기 위해 일단 작업 폴더에 임시로 저장된 후, 특정 시간에 일괄 전송되는 치밀함도 보였다. </p> <p contents-hash="3aa4285505ec557e2bb4e4083c222da09fcaf5d7f92805fd4abf00c4119af0ce" dmcf-pid="xwVbQHHlvC" dmcf-ptype="general">지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어(시스템에 몰래 침입하기 위한 뒷문) 공격 사례와 매우 유사하다고 밝혔다. </p> <p contents-hash="6e37e95bcd6bb7df12ef556d220817e94c9923017c162a198ff9ca0ba3fe9adb" dmcf-pid="yBIrTdd8CI" dmcf-ptype="general">스피어피싱 메일에 쓰인 미끼 문서의 최종 저장자명이 'Lailey'로 일치할 뿐만 아니라, 악성 바로가기 파일의 구조, 배치파일 난독화 수법, 작업 스케줄러를 활용해 좀비 PC 상태를 지속시키는 방식 등이 닮았다는 설명이다. </p> <p contents-hash="94c829aab23e735e92e2e51f5593c845b68ad89b27d218a9b23183aafd9754fa" dmcf-pid="WbCmyJJ6lO" dmcf-ptype="general">지니언스 관계자는 "이번에 발견된 나왈랫은 한국 사용자 맞춤형으로 제작되어 정교하게 침투하는 만큼 피해가 커질 수 있다"고 경고했다. </p> <p contents-hash="077f016e514840e151864fe96eb7f09407e3dc20053795ff20b38250645406e2" dmcf-pid="YKhsWiiPSs" dmcf-ptype="general">이어 "향후 유사한 변종 형태로 지속해서 활용될 가능성이 매우 높은 만큼, 단순한 파일 기반 탐지를 넘어 시스템 내 수상한 움직임을 잡아내는 행위 기반 탐지 체계를 시급히 강화해야 한다"고 당부했다. </p> <p contents-hash="1760d558f9dd34c9e5c27d94dd6099004d66dd0077e201c0873b6c0f67b190ff" dmcf-pid="G9lOYnnQCm" dmcf-ptype="general">김미지 기자 unknown@kyeonggi.com </p> </section> </div> <p class="" data-translation="true">Copyright © 경기일보. 무단전재 및 재배포 금지.</p> 관련자료 이전 '슈퍼 태양풍' 방사선 분석해보니…"저궤도 위성에 직접 영향" 06-15 다음 "노견 잘 보는 병원 어디?"…네이버 지도에 물어보세요 06-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.