2일 보안업체 안랩에 따르면 김수키는 최근 윈도 도움말 파일(.chm) 형식으로 된 악성코드를 보내고 있는 것으로 나타났다. 해당 형식의 파일을 실행하면 HTML 파일로 된 도움말 창을 생성하는데, 이때 htm 또는 html 파일에 포함된 악성 명령어가 함께 실행되는 것으로 전해졌다.
안랩은 “도움말 창이 정상적인 내용을 노출하기 때문에 이용자가 악성코드라는 점을 쉽게 알아채기 어렵다”고 설명했다.
해당 악성코드가 유포되는 경로에 관해 안랩은 주로 사례비 또는 개인정보 양식을 위장하고 이메일로 유포된다고 설명했다. 안랩은 “항상 첨부파일 실행에 유의해야 한다”며 “백신을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다”고 권고했다.
김수키는 이렇게 유포한 코드로 사용자의 정보를 수집하거나, 키보드에 입력한 정보를 중간에서 가로채는 ‘키로깅’ 공격을 하는 것으로 전해졌다.
한편 북한의 해커조직인 김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌다. 김수키는 우리나라 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격도 지속적으로 시도하고 있다.
주요 글로벌 보안업체들에 따르면 김수키는 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하고 있는 것으로 파악됐다.
북한은 국제사회의 대북 제재 강화 이후 해킹과 마약 밀매 등 범죄 행위에 더욱 집중하는 것으로 전해졌다.
sanghoon3197@fnnews.com 박상훈 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지