최근 북한 정찰총국 산하 해킹 그룹으로 알려진 김수키(Kimsuky)와 연계된 것으로 추정되는 악성코드 KimJongRAT이 국세 고지서 파일로 위장한 피싱 메일을 통해 국내에 압축파일 형태로 전달되며, 사용자가 파일을 실행하면 정상 문서처럼 보이는 디코이 파일과 함께 사용자 정보를 탈취하는 악성 파일이 동시에 실행되는 방식입니다. 이번 공격은 국내 환경을 깊이 분석한 정밀 표적 공격으로 평가되고 있어 각별한 주의가 필요합니다.
국제 고지서로 위장한 악성코드 유포 방식
해당 악성코드는 국세 고지서.pdf(tax_notice).zip이라는 압축 파일 형태로 퍼지고 있습니다. 사용자가 메일을 통해 이 파일을 받으면 안에 들어 있는 '국세 고지서.pdf' 파일로 위장된 바로가기(LNK) 파일이 존재합니다.
이 바로가기 파일을 실행하면 내부에 숨겨진 인코딩 값이 실제 URL 주소로 복호화되어 자동 접속됩니다. 이후 해당 사이트로부터 HTA(HTML Application) 파일이 다운로드되며, 이를 실행하면 겉보기에는 정상처럼 보이는 '디코이 파일(미끼 파일)'과 함께 악성 파일이 함께 설치됩니다. HTA 파일은 윈도우에서 원격 실행이 가능해 공격자들이 자주 사용하는 수법으로 알려져 있습니다.
보안 프로그램 여부에 따라 달라지는 악성 동작
- 보안 프로그램이 비활성화된 경우: 특정 악성 모듈이 다운로드
- 보안 프로그램이 활성화된 경우: 탐지를 피할 수 있도록 다른 형태의 모듈 전달
'KimJongRAT'의 공격의 특징 중 하나는 사용자의 보안 프로그램 상태를 먼저 확인한 뒤, 상황에 맞는 악성 파일을 전송한다는 점입니다. 악성코드는 주기적으로 사용자 정보를 수집해 외부 서버로 전송하며, 수집 대상은 매우 광범위합니다.
공격자는 이후 시스템 정보, 브라우저 저장 데이터, 암호화 키, 암호화폐 지갑 정보, 공인인증서, 텔레그램과 디스코드 계정 정보 등 민감한 데이터를 주기적으로 수집해 전송합니다. 특히 수집 대상이 국내 환경에 초점이 맞춰져 있어 이번 공격은 한국 사용자를 정밀하게 노린 것으로 분석되고 있습니다. 이 같은 정황으로 볼 때 이번 KimJongRAT은 국내 사용자 정보를 노린 맞춤형 공격으로 제작된 것으로 분석되고 있습니다.
전문가의 보안 권고
이스트시큐리티 보안 대응 센터는 KimJongRAT이 윈도우 보안 프로그램의 허점을 이용하는 전형적인 APT(지능형 지속 공격) 형태라고 평가했습니다. 또한 마이크로소프트(MS)가 보안을 지속 강화하고 있지만, 레거시 시스템이나 업데이트가 미비한 환경에서는 여전히 큰 피해가 발생할 수 있다고 경고했습니다.
- 윈도우 및 소프트웨어를 최신 버전으로 유지하기
- 파일 탐색기의 ‘확장자명 보기’ 기능 활성화하기
- 확장자가 .zip, .hta, .lnk 등일 경우 실행 전 반드시 검증하기
- 국세청, 금융기관 등 공문서 형태의 메일은 발신자 주소를 반드시 확인하기
최근 APT 공격 증가, 국내 표적 공격 꾸준히 이어져
안랩의 '2025년 사이버 위협 동향 & 2026 보안 전망' 보고서에 따르면, 김수키 그룹은 2024년 10월부터 2025년 9월 사이 27건의 APT 공격(지능형 지속 공격)을 벌인 것으로 파악되었습니다. 김수키는 북한 정찰총국 산하 조직으로 정치, 외교, 안보 분야를 중심으로 한 장기적이고 정교한 사이버 공격을 지속해왔습니다. 이번 KimJongRAT 역시 그 연장선상에 있는 것으로 분석되고 있습니다.
마무리
이번 ‘KimJongRAT’ 악성코드는 단순한 피싱 공격 수준이 아니라 국내 환경을 정밀하게 분석해 제작된 고도화된 공격입니다. 국세 고지서같은 공공기관 명의의 첨부 파일이라도 출처가 불분명하다면, 반드시 보안 점검 후 열어야 합니다. 보안 업데이트와 주의 습관이 나 자신을 지키는 가장 확실한 방법입니다.
