마이크로소프트(MS) 보안팀을 사칭한 이메일을 통해 한국 사용자 PC에 침투하는 신종 악성코드가 발견됐다. 북한 연계 해킹 조직의 소행으로 추정되는 이 악성코드는 키보드 입력 기록이나 마이크 녹음 등 30종 이상의 기능으로 시스템을 장악할 수 있는 것으로 나타났다.

15일 보안 기업 지니언스에 따르면 최근 북한 연계 해킹 조직 APT37의 소행으로 추정되는 악성코드 ‘나왈랫(NarwhalRAT)’이 국내 사용자를 대상으로 유포되고 있는 것으로 확인됐다.

공격은 MS 계정에서 일회용 인증 코드(OTP)가 반복 생성되는 이상 징후가 발견됐다는 내용의 피싱 이메일로 시작된다. 발신자명은 ‘Microsoft 계정 팀’으로 표시되지만 실제 발신 도메인은 MS 공식 도메인이 아닌 것으로 확인됐다.

이메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문을 확인하도록 유도한다. 만약 압축 파일을 풀면 한글 문서처럼 보이는 악성 바로 가기(.lnk) 파일이 나타나는데, 이를 실행하면 정상적인 보안 안내 문서가 열리는 동시에 악성 코드 설치가 진행된다.

지니언스는 악성 코드가 설치된 뒤 PC 내부에 ‘naverwhale’이라는 이름의 폴더를 생성하는 점에 착안해 ‘Narwhal(일각고래)’과 결합한 문자 재배열 방식으로 ‘NarwhalRAT’이라는 이름을 붙였다.

‘naverwhale’ 폴더는 국내에서 널리 쓰이는 네이버 웨일 브라우저로 위장하려는 의도로 해석되며, 한국 사용자를 주요 표적으로 삼고 있음을 시사한다고 지니언스는 설명했다. 

(후략)