최근 선관위의 ‘20대 대통령선거 선상투표 보도자료’ 사칭한 악성 한글문서 유포
지난 2월 7일 유포된 또 다른 선관위 보도자료 사칭 악성문서와 매우 유사
대선 앞두고 선관위 사칭 공격 더 많아질 듯...보도자료 확인에 각별히 주의해야

[보안뉴스 권 준 기자] 사전투표 하루 전, 공식 선거일이 6일 앞으로 다가온 가운데 ‘20대 대통령선거 선상투표 보도자료’를 가장한 악성 한글문서가 유포 중인 것으로 드러났다.

지난 2월 28일 유포된 악성 한글문서는 중앙선거관리위원회(이하 선관위)가 배포한 것처럼 보이는 ‘20대 대통령선거 선상투표 보도자료’를 사칭하고 있는데, 해당 악성 문서는 내부 OLE 개체를 통해 배치 파일을 구동하여 파워쉘을 실행하는 형태로 추정된다는 게 안랩 ASEC 분석팀의 설명이다.


유포된 악성 한글문서의 파일명은 ‘보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp’로 알려졌다. 동일한 정상 한글 문서의 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로, 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 추정된다.

이와 유사한 형태의 공격은 지난 2월 7일에도 발견된 것으로 알려졌다. 북한 전문매체 DailyNK에 따르면 당시 공격자는 선관위를 사칭하고 ‘제20대 대통령선거 선거권자 개표참관인 공개 모집’이라는 정상 문서로 위장해 악성 문서를 유포한 것으로 알려졌다. 선관위에서 배포한 보도자료를 활용한 점으로 미뤄 언론사 기자들을 목표로 공격을 수행 중일 가능성이 높다는 내용이었다.

당시 유포됐던 악성 한글 문서와 이번 공격에 사용된 문서는 선관위라는 동일한 기관으로 위장해 악성 한글 문서를 유포했다는 점과 OLE 개체 방식으로 배치 파일 실행을 유도하고 있다는 점, 그리고 2월 7일 선관위 사칭 공격에 사용된 것과 유사한 변수명을 포함한 파워셀 커맨드가 존재한다는 점에서 유사성이 매우 높다는 지적이다. 이에 따라 당시 공격과 이번에 발견된 공격 모두 동일 해커조직, 그 가운데서도 북한 해커조직의 소행일 가능성이 제기된다.

이번 악성 문서 유포와 관련해 안랩 ASEC 분석팀 측은 “정상적인 공식 한글 문서는 중앙선거관리위원회 공식 홈페이지에서 확인할 수 있으며, 사용자는 출처가 불분명한 사이트에서 이와 유사한 문서를 다운로드 받을 경우 의심해야 한다”며, “공격자는 20대 대선이 다가옴에 따라 선관위를 사칭한 다양한 공격을 수행하고 있는 것으로 보인다”고 각별한 주의를 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>