[디지털데일리 이종현기자] 지난해 12월 마이크로소프트(MS)가 미국 버지니아주 연방법원에 고소장을 제출하며 국제사회에 알려진 북한 해킹조직 ‘탈륨(Thallium)’의 새로운 공격 징후가 포착됐다.

3일 이스트시큐리티는 탈륨 조직이 제작한 것으로 분석된 여러 종의 최신 악성 파일을 발견했다고 주장했다. ▲개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용 ▲아시아/태평양 지역의 학술 연구논문 투고 규정 등을 사칭했다는 것이다.

새롭게 발견된 탈륨의 악성 파일은 EXE 실행 파일을 그대로 사용하며 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다. hwp, docx 등 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 ‘스피어 피싱’ 공격 수법을 자주 활용해 왔던 것에 변화를 준 것.

분석 결과 이번 악성 파일은 동작하지 않는 복수의 악성코드가 삽입됐다. 이스트시큐리티 시큐리티대응센터(ESRC)는 동작하지 않는 악성코드가 첨부된 것에 대한 분석을 진행 중이다. 하지만 동일한 시점에 발견된 악성파일 중 일부는 감염된 PC의 정보를 유출하는 사이버 스파이 행위를 정상적으로 수행하는 것으로 분석돼 주의가 필요하다.

실제 명령이 정상 동작하는 ‘논문 투고 규정 사칭’ 악성 문서에서는 중국식 표현으로 추정되는 ‘zhaozhongcheng’ 계정이 발견됐다. 이 사용자 정보는 기존 탈륨의 해킹 공격과 연관성이 있는 것으로 나타났다.

문종현 이스트시큐리티 ESRC센터장 이사는 “특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재되어 있다”며 “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했다.

또 문 이사는 “공식 설문조사나 서류심사, 행사 초대 등을 빌미로 접근하는 악성 이메일을 발송해, 메일 수신자가 첨부 파일을 열어보도록 심리적으로 현혹하는 수법을 사용하고 있다”며 “만약 이와 유사한 것으로 의심되는 이메일을 수신할 경우, 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해야 한다”고 설명했다.

한편 ESRC는 탈륨 조직이 사용한 이메일 계정에 일부 국내 서비스 주소가 포함돼 있다고 밝혔다. 비트코인 키워드를 아이디로 사용하거나 과거 한국에서 보고된 악성파일과 밀접하게 연관된 것으로 분석했다.

<이종현 기자>bell@ddaily.co.kr