“MS 보안팀이래서 믿었다”…클릭 한 번에 키보드·화면까지 다 털렸다, 무슨 일? 작성일 06-17 64 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="9KaqommjCB"> <figure class="figure_frm origin_fig" contents-hash="a7214a7a1dc7abb167b58537250e37ffcf7b0aa8579d77c4e6036cfea486e08f" dmcf-pid="29NBgssAhq" dmcf-ptype="figure"> <p class="link_figure"><img alt="클립아트코리아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/17/seouleconomy/20260617030124341geoh.jpg" data-org-width="1200" dmcf-mid="Bj2TKRRfT9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/17/seouleconomy/20260617030124341geoh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 클립아트코리아 </figcaption> </figure> <p contents-hash="74eadeb009d4fe4b2397ddc0673e5236ac93994b8e8041fab3c57fb18b2d6fdc" dmcf-pid="V2jbaOOcvz" dmcf-ptype="general">마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드가 발견됐다. 북한 연계 해킹조직의 소행으로 의심되는 이 악성코드는 키보드 입력 기록은 물론 화면 캡처와 마이크 녹음까지 가능한 것으로 분석돼 각별한 주의가 요구된다.</p> <p contents-hash="a762cfce6c724fd1fd8ad1845478bec1fcbe8f24133fee1d4915c9b80419c7ee" dmcf-pid="fVAKNIIkh7" dmcf-ptype="general">16일 국내 보안 기업 지니언스에 따르면 최근 북한 연계 해킹조직 APT37의 소행으로 추정되는 악성코드 ‘나왈랫’(NarwhalRAT)이 한국 사용자를 겨냥해 유포되고 있는 것으로 파악됐다.</p> <p contents-hash="2486a77fbd4a0066651ee4ad079423cacaff3b32703e06f545075481a3e165d6" dmcf-pid="4fc9jCCEvu" dmcf-ptype="general">공격은 MS 계정 보안 경고처럼 위장한 스피어피싱 이메일에서 시작된다. 이메일에는 “MS 계정에서 일회용 인증코드(OTP)가 반복 생성되는 이상 징후가 감지됐다”는 내용이 담겼다.</p> <p contents-hash="0032f869a7c1a5d332a2b87836a6f689f8ddb13dfa8a9af80ec4543e677b3474" dmcf-pid="84k2AhhDyU" dmcf-ptype="general">발신자명은 ‘Microsoft 계정 팀’으로 표시되지만 실제 발신 도메인은 MS 공식 도메인이 아닌 것으로 확인됐다. 사용자가 이를 진짜 보안 안내로 오인할 가능성을 노린 방식이다.</p> <p contents-hash="2194c767080cdae8c853251a3f7730fc6fb6b0a76a4995b7b29093d5c543ccfe" dmcf-pid="68EVcllwSp" dmcf-ptype="general">메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문을 확인하라고 유도한다. 압축 파일을 풀면 한글 문서처럼 보이는 악성 바로가기(.lnk) 파일이 나타난다. 해당 파일을 실행하면 겉으로는 정상적인 보안 안내 문서가 열리지만 그 이면에서는 악성코드 설치가 진행되는 구조다.</p> <p contents-hash="11f636452060594c36381e96e56f71208ab5ed95001b2ed2697f7d67ad875e5b" dmcf-pid="PSqC766bC0" dmcf-ptype="general">이번 악성코드는 한국 사용자 환경을 겨냥해 설계된 정황도 확인됐다. 지니언스는 악성코드가 설치된 뒤 컴퓨터 내부에 ‘naverwhale’(네이버웨일)이라는 이름의 폴더를 작업 디렉터리로 생성한다는 점에 주목했다.</p> <p contents-hash="85934c547798a900ce2ef6ce058b3fcc803e771744467b0f08484098f8a48fd8" dmcf-pid="QvBhzPPKh3" dmcf-ptype="general">‘naverwhale’ 폴더명은 국내에서 널리 쓰이는 네이버 웨일 브라우저로 위장하려는 의도로 해석된다. 지니언스는 이 이름에 ‘Narwhal(일각고래)’을 결합한 문자 재배열을 적용해 해당 악성코드를 ‘NarwhalRAT’으로 명명했다.</p> <p contents-hash="127b7ab13ed5438b3469254252f7df367e0776d97aecb2dcf5f9ab3ceda2d22d" dmcf-pid="xTblqQQ9lF" dmcf-ptype="general">내부 코드에는 카카오톡 관련 창을 정보 수집 대상에서 별도로 처리하는 로직도 포함돼 있었다. 보조 창을 걸러내 수집 데이터의 정확도를 높이려는 방식으로 한국 사용자 환경을 고려해 개발됐을 가능성을 보여준다.</p> <p contents-hash="2a75e4cd9064250c66ddd46ff53f494e4e78bdaa10d3ad80aa71e39fac0a03a6" dmcf-pid="yQr8DTTsyt" dmcf-ptype="general">나왈랫은 공격자의 원격 명령에 따라 다양한 기능을 선택적으로 실행할 수 있다. △키보드 입력 기록 △화면 캡처 △마이크 녹음 △USB 저장장치 파일 수집 △원격 명령 실행 등 30종 이상의 기능을 갖춘 것으로 분석됐다.</p> <p contents-hash="765f7a51ada9e4b7cea47fd921a58846268735b7fc6960a14a5923c1cade40b7" dmcf-pid="Wxm6wyyOT1" dmcf-ptype="general">이를 통해 피해자 PC에서 어떤 프로그램을 사용하고 어떤 서비스에 접속하는지를 화면과 키 입력을 통해 파악할 수 있는 구조다.</p> <p contents-hash="fad4f0aa6db97d23b334d625db70ce31c9cb1636785e9cd64129c9b8fa7b2c31" dmcf-pid="YMsPrWWIl5" dmcf-ptype="general">수집된 데이터는 곧바로 외부로 전송되지 않고 작업 디렉터리에 임시 저장된 뒤 한꺼번에 전송된다. 이는 실시간 네트워크 탐지를 피하기 위한 방식으로 풀이된다.</p> <p contents-hash="d0468c98e49a9b2365f1389e58e80c9b3087762dc4fecf8bc679f242db1c0e48" dmcf-pid="GROQmYYCCZ" dmcf-ptype="general">지니언스는 이번 공격이 지난해 5월 공개된 북한 연계 해킹조직 APT37의 파이썬 기반 백도어 공격 사례와 구조·수법 면에서 높은 유사성을 보인다고 분석했다.</p> <p contents-hash="12a4652a7ffd0d85626f16188319dcee06489656254a01837d03c20ab95f8bae" dmcf-pid="HeIxsGGhvX" dmcf-ptype="general">스피어피싱에 쓰인 미끼 문서의 최종 저장자명이 ‘Lailey’로 동일하고 악성 바로가기 파일 구조와 배치파일 난독화 방식, 작업 스케줄러 기반 지속성 확보 방식 등도 상당 부분 일치했다는 설명이다.</p> <p contents-hash="b95b79b3d3b8e7d7249abde1bf6b156da7dc428ba33424df8512cd185fbf6789" dmcf-pid="XdCMOHHllH" dmcf-ptype="general">지니언스는 “향후 유사한 변종 형태로 지속 활용될 가능성이 있는 만큼 파일 기반 탐지와 함께 행위 기반 탐지 체계를 강화해야 한다”고 권고했다.</p> <div class="video_frm" dmcf-pid="Zs0wF99UvG" dmcf-ptype="embed"> <div class="layer_vod"> <div class="vod_player"> <iframe allowfullscreen class="player_iframe" dmcf-mid="bYipdkkLCK" dmcf-mtype="video/youtube" frameborder="0" height="370" id="video@bYipdkkLCK" scrolling="no" src="https://www.youtube.com/embed/S5prMsNV1D0?origin=https://v.daum.net&enablejsapi=1&playsinline=1" width="100%"></iframe> </div> </div> </div> <div contents-hash="b4b1e6d001cf42570d5a5823b2b786d874629a0664b9283ac15956d7a15cfe62" dmcf-pid="5Opr322uCY" dmcf-ptype="general"> <div> 미토스 수출 통제, 삼성·SK도 막혔다… </div> <br> 조수연 AX콘텐츠랩 기자 newsuyeon@sedaily.com </div> </section> </div> <p class="" data-translation="true">Copyright © 서울경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 AI 과제는 연결…브록먼 “에이전트가 기업 업무 바꾼다”[데이터 AI서밋] 06-17 다음 최휘영 문체부 장관, 체육단체 진입 무산에 "이성 되찾으시라" 06-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.