악성 매크로 활용한 공격 전략 점점 사라지나...북한 해커들도 새 방법 모색

요약 : 보안 블로그 시큐리티어페어즈는 보안 업체 체크포인트(Check Point)의 보고서를 인용해 북한의 사이버 공격 단체인 스카크러프트(ScarCruft)가 LNK 파일을 활용해 멀웨어를 유포하고 있다고 보도했다. 원래 스카크러프트는 악성 문서 파일들을 통해 멀웨어를 퍼트리던 단체였다. 최소 지난 7월부터 록랫(RokRAT)이라는 원격 접근 도구를 피해자들에게 심기 위해 LNK 활용 전략을 채택해 왔다고 한다. 록랫 자체는 이전과 비교해 크게 다르지 않지만 전략이 새로워졌다는 것에 주목해야 할 필요가 있다고 체크포인트는 경고했다.


배경 : 요 몇년 동안 문서 파일에 적용되는 각종 매크로 기능이 악용되는 사례가 늘어나자 보안 업계는 매크로에 대한 대처법을 계속해서 마련하고 있고, MS마저 매크로가 디폴트 상태로는 활성화되지 않도록 규정을 바꾸었다. 그러면서 매크로에 의존하던 공격자들은 변신을 할 수밖에 없는 상황이 됐다.

말말말 : “스카크러프트 역시 매크로 활용이 힘들어지는 현실에 직면하여 다른 방법들을 모색 중인 것으로 보입니다. LNK에 정착할 수도 있지만 다른 방법을 활용할 수도 있어 보입니다.” -체크포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>