北 해킹조직, '이태원 참사 보고서' 위장해 사이버 공격

8일 구글의 위협분석그룹(TAG)이 홈페이지를 통해 공개한 보고서에 따르면, 북한 해킹조직 'APT37'은 지난 10월 말 '용산구 이태원 사고 대처상황 - 2022.10.31(월) 06:00 현재'라는 제목의 워드 파일에 악성코드를 심어 유포했다. ⓒ구글 위협분석그룹(TAG) 홈페이지

북한 해킹조직이 '이태원 참사'를 악용해 사이버 공격을 감행한 사실이 확인됐다.

8일 구글의 위협분석그룹(TAG)이 홈페이지를 통해 공개한 보고서에 따르면, 북한 해킹조직 'APT37'은 지난 10월 말 '용산구 이태원 사고 대처상황 - 2022.10.31(월) 06:00 현재'라는 제목의 워드 파일에 악성코드를 심어 유포했다. 공문서는 통상 한글(HWP) 파일에 기초해 작성되며 PDF 형식으로도 배포된다.

해당 파일을 열면 상단 왼쪽에 행정안전부 로고를 확인할 수 있으며, 중앙재난안전대책본부 보고서 양식을 모방한 것으로 평가된다.

TAG는 "해당 파일이 2022년 10월 29일 서울 이태원에서 일어난 비극적인 사건을 언급하고 있다"며 "널리 보도된 사건에 대한 대중의 광범위한 관심을 미끼로 이용했다"고 밝혔다.

TAG는 "공격자들이 인터넷 익스플로러의 J스크립트(JScript) 엔진 취약점을 악용했다"며 "해당 조직은 과거 돌핀이나 블루라이트 등의 악성코드를 배포한 적이 있다"고도 했다.

그러면서 "TAG는 보안 커뮤니티 내에서 APT37과 같은 나쁜 행위자에 대한 인식을 높이고 (공격) 대상이 될 수 있는 기업과 개인을 위한 연구를 공유하는 데 전념하고 있다"고 부연했다.

APT37은 △금성121 △스카크러프트 △레드 아이즈 △그룹123 등 다양한 이름으로 불리며 최신 보안 취약점을 이용해 국내 대북단체 및 국방 분야 관계자들을 겨냥한 사이버 공격을 가해왔다.

이들은 지난 2019년에도 통일부 자료처럼 꾸민 이메일에 악성코드를 심어 배포한 바 있다.