'Ink' 첨부파일 다운받으면 악성코드 유포
안랩 "김수키 수법과 유사...표적공격 가능성도"
발신자 불분명한 이메일·첨부파일 클릭 주의
최근 SK텔레콤 해킹 사고를 악용한 피싱 이메일이 급증하고 있다. 특히 주무 공공기관인 한국인터넷진흥원(KISA)을 사칭한 사례도 포착됐다. 보안 업계에선 북한의 해킹조직 '김수키' 그룹이 사이버 공격의 배후에 있는 것 아니냐는 가능성도 떠올랐다.
15일 관련 업계에 따르면, 최근 'KISA알림.pdf' 첨부파일을 포함한 이메일이 유포되고 있다. 해당 이메일은 SKT 해킹을 언급하며 "알림"이나 "가이드" 등 키워드를 사용했다. 또한 "보안점검", "개인정보 확인", "해킹 의심 안내" 등 내용을 포함해 사용자의 실행을 유도한다는 점이 특징이다.
안랩은 해당 문서가 악성 '바로가기 파일 확장자(LNK)'를 파일로 구성돼 있어, 실행 시 사용자 PC에 악성코드를 설치할 수 있다고 분석했다. 악성 LNK 파일을 클릭할 경우 숨겨진 명령어로 악성 자바스크립트를 호출해, 악성코드를 배포하는 방식이다. 안랩 보안 인사이트는 "피싱 메일에 첨부된 파일명이 'KISA.알림.pdf.Ink' 등으로 돼 있어 사용자가 정상적인 PDF 문서로 착각하기 쉽다"고 했다.
또한 안랩은 해당 피싱 메일이 북한 배후 해킹 조직으로 알려진 '김수키'가 사용하는 기법과 유사하다고 봤다. 안랩은 "해당 악성코드는 사용자의 PC에 저장된 민감한 정보를 탈취하거나, 추가 악성 파일을 다운로드하는 기능을 포함하고 있다"며 "김수키가 사용하는 기법과 유사한 부분이 발견돼 이번 공격이 특정 대상을 노린 표적 공격일 가능성도 배제할 수 없다"고 했다.
관련 뉴스
이에 안랩은 이용자의 면밀한 주의를 촉구했다. 특히 발신자를 정확히 확인하고, 모르는 이메일이나 첨부파일은 열람하지 않는 등 조치가 요구된다. 안랩은 파일 확장자가 표시되도록 옵션을 설정하고, '.Ink' 확장자 파일은 실행하지 않아야 한다고 권고했다.
파이오링크·잉카인터넷 등 보안기업도 BPF도어(BPFDoor) 악성코드를 점검하기 위한 도구를 무료로 배포했다.
한편 KISA는 SKT 대규모 해킹 사태의 원인으로 지목된 BPF도어 악성코드를 점검하기 위한 가이드를 배포한 바 있다. BPF도어는 리눅스 및 솔라리스 시스템을 대상으로 하는 스텔스형 백도어 악성코드다. 시스템 프로세스를 위장해 탐지를 회피하고, 수신한 외부 명령으로 민감 정보를 유출하는 기능을 가진다.
![은 지금 사도 될까? 금따라 뛰는 은 투자에 대해 솔직히 말씀드립니다 ㅣ 윤석천 경제평론가 [찐코노미]](https://i.ytimg.com/vi/Wr6V3kpyvIU/mqdefault.jpg)
![이창용 한은총재, 물가안정목표 운영상황 점검 기자설명회 [포토]](https://img.etoday.co.kr/crop/300/190/2187225.jpg)