한글 문서에서 북한이탈주민(탈북민)에게 의견을 수렴하는 내용으로 위장한 북한 사이버 공격이 발견됐다.
9일 보안 전문 기업 이스트시큐리티는 탈북민 자문위원 의견 수렴 문서로 위장한 한글(HWP) 파일 기반 북한 연계 해킹 공격이 발견됐다고 밝혔다.
공격자는 한글 문서 내부에 OLE(개체 연결 삽입) 기능을 악용했다. 문서가 실행될 때 가짜 메시지 창 ‘상위 버전에서 작성한 문서입니다’를 띄워 클릭을 유도했다. 평소 한글 문서에서 많이 볼 수 있는 내용으로, ‘확인’ 버튼을 누르면 해킹 공격에 그대로 노출된다.
자유북한운동연합은 지난달 25~26일 이틀간 경기 김포 지역에서 대형 풍선으로 약 100만 장의 대북 전단을 살포했다고 주장한 바 있다. 이번 문서는 마치 해당 내용에 대해 의견을 수렴하는 것처럼 위장했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격이 북한 해커 조직과 연계됐을 가능성이 크다고 분석했다. 공격 수법과 전술 명령 등이 기존 북한 사이버 공격 사례와 일치하기 때문이다.
문종현 ESRC 센터장은 “한글 문서 기반 스피어 피싱 공격은 지금도 꾸준히 목격되는 무시할 수 없는 위협 중 하나”라며 “북한과 연계된 사이버 위협이 날이 갈수록 증대되고 있기 때문에 긴밀한 민관 공조가 중요하다”고 말했다.