매크로 사용을 유도하는 악성코드. /사진=이스트시큐리티
매크로 사용을 유도하는 악성코드. /사진=이스트시큐리티

북한이 배후에 있는 것으로 추정되는 해커그룹 ‘라자루스’의 올해 첫 움직임이 감지됐다.
31일 이스트시큐리티에 따르면 최근 악성코드가 삽입된 문서파일이 네트워크 카메라와 CCTV 판매 웹사이트를 통해 유포됐다. 이스트시큐리티 측은 “이번 사이버 공격은 북한과 연관된 것으로 추정되는 해커그룹 라자루스의 소행으로 보인다”고 밝혔다.

라자루스는 2014년 말 미국 소니픽쳐스와 방글라데시 은행, 워너크라이 랜섬웨어 등 국제적인 사이버 공격의 배후로 지목된 해커그룹이다. 지난해 미국 정부는 북한 해커 박진혁의 얼굴과 이름을 공개하고 지명수배를 내렸다.


이번에 발견된 악성코드는 ‘직무기술서’라는 명칭의 마이크로소프트(MS) 워드파일로 위장했다. 내용은 미국 시스코 한국지사의 시스템엔지니어를 모집한다는 내용이다. 이 파일을 실행하면 DOC 문서 버전이 낮아 매크로 기능을 실행해야 한다며 사용자의 매크로 실행을 유도한다.

매크로가 실행되면 자바 업데이트 스케쥴러로 위장한 악성파일 ‘jusched.exe’를 다운로드 한다. 이 과정에서 정상 파일도 함께 실행해 악성코드 감염 여부를 숨긴다. 이 악성코드는 국내 특정 웹사이트와 통신을 시도하고 추가적인 공격명령을 대기한다.

문종현 이스트시큐리티 이사는 “이번 공격은 보안이 허술한 국내 사이트를 해킹해 악성코드를 유포했다”며 “과거와 비슷한 코드 방식을 사용한 것으로 봤을 때 라자루스의 소행으로 추정할 수 있다”고 말했다.