22일 오전 시력보호 프로그램으로 위장한 악성파일이 온라인 포럼에 등장했다. /사진=이스트시큐리티
지난 22일 국내 특정 인터넷 포럼 자료실에 시력보호 프로그램으로 위장한 악성파일이 무차별 유포됐다. 배후로 지목된 해커집단은 ‘라자루스’로 가상화폐와 군 관련 방위산업체를 타깃으로 한다.
23일 이스트시큐리티 ESRC는 22일 오전 8시49분을 전후해 국내 한 온라인 포럼 게시물에 ‘시력보호 프로그램’으로 위장한 악성파일이 업로드 됐다고 밝혔다. 이 글은 당일에만 1600명이 조회했고 현재는 삭제됐다.

ESRC에 따르면 공격자는 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가 삽입하고 악성코드가 은밀히 작동되도록 기능을 추가했다고 분석했다. 악성코드는 윈도 64비트 기반으로 제작돼 사용환경에 따라 악성코드의 영향이 차이가 발생할 수 있다.


이번 악성코드는 주로 국내에서 가상화폐를 타깃으로 삼는 해커집단 ‘라자루스’의 소행으로 추정된다. 라자루스는 지난 4월1일에도 ▲블록체인 소프트웨어 개발 계약서 ▲비트코인 투자 카페 강퇴&활동정지 ▲국내 비트코인 거래소 지원서 사칭 ▲부동산 투자문건 사칭 등을 통해 위협을 가했다.

문종현 이스트시큐리티 ESRC 센터장 이사는 “라자루스 조직원들이 스피어 피싱 기반 APT 공격 뿐만 아니라 유명 인터넷 커뮤니티에 악성파일을 돕는 과감한 전술을 구사 중”이라며 “이번 공격은 앞서 공개된 라자루스의 코드와 유사한 범이 매우 많다”고 말했다.