北김수키 연계 ‘KimJongRAT’ 유포…국세고지서 사칭파일 주의

북한 정찰총국 산하 해킹그룹 김수키(Kimsuky)와 연관된 악성코드 ‘KimJongRAT’이 등장해 주의가 요구된다. 이번엔 ‘국세 고지서’ 파일로 위장해 유포됐다.2일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근 김수키 그룹과 연관된 원격 제어형 악성코드(RAT·Remote Access Trojan) ‘KimJongRAT’이 HTA 형태로 유포되고 있다.HTA(HTML Application) 파일은 윈도우 시스템에서 직접 실행할 수 있는 애플리케이션 형식으로 이용자가 해당 파일을 실행하면 외부 서버와 통신해 추가 악성코드를 내려받는 구조다.문제의 파일은 ‘국세_고지서_pdf.zip’이라는 이름으로 유포됐다. 파일 내부에는 ‘국세고지서.pdf’로 위장한 바로가기(LNK) 파일이 포함돼 있다. 이메일 피싱 형태로 전파된 것으로 추정된다.이스트시큐리티 분석 결과 이용자가 해당 바로가기 파일을 열면 내부에 인코딩된 스크립트가 작동해 특정 URL로 연결된다. 해당 주소에