[디지털데일리 이종현기자] 이스트시큐리티는 지난 미국 대선 결과에 따른 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’라는 내용으로 유포된 악성 파일을 발견했다고 17일 밝혔다.

발견된 악성 파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있다. 이메일에 문서 파일을 다운로드할 수 있는 인터넷주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식이다. URL이 국내 특정 퓨털 회사처럼 위조돼 공식 사이트로 생각하고 위조 웹사이트를 통해 악성 문서를 내려 받도록 설계됐다.

메일 수신자가 위조 웹사이트에서 악성 문서 파일을 내려받아 실행하면 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 ‘콘텐츠 사용’ 버튼 클릭을 유도한다. 이때 버튼을 클릭하면 정상적인 문서 내용이 나타나지만 숨겨진 악성 매크로 명령이 작동한다. 이 경우 PC 정보를 해커가 지정한 서버로 전송하고 추가 원격제어 등의 피해로 이어질 수 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 공격을 분석한 결과 공격에 사용한 고유 통신 문자열(WebKitFormBoundaryA2D2gp2XzUyO0Qmi)과 공격 패턴이 이전 탈륨 조직이 사용한 것과 유사성이 있다고 전했다. 현재 정밀 분석을 진행 중이다.

탈륨은 북한 정부의 지원을 받는 해킹 조직으로 알려졌다. 지난해 미국 정부부처 공무원과 싱크탱크 등을 공격한 혐의로 마이크로소프트(MS)로부터 고소된 바 있다. 미국 정부로부터 지능형지속위협(APT) 공격 활성도가 높은 ‘주요 위협 행위자(Threat Actor)’로 등록돼 있다.

문종현 ESRC 센터장은 “2020년 하반기의 보안 상태를 진단하며 한국에서 탈륨 조직의 사이버 위협 수위가 예사롭지 않음을 확인했다”며 “유사한 위협에 노출되지 않도록 특별한 주의와 민관의 선제적 대응이 요구된다”고 말했다.

이어서 그는 “이메일을 기반으로 한 스피어 피싱 공격이 진화를 거듭하고 있다. 최근에는 정교한 이메일 공격에 더해 해킹으로 탈취한 계정의 대화에 은밀히 개입해 신분도용 기반 중간자 공격도 포착되고 있어 위협에 노출될 가능성이 매우 높다”고 부연했다.

<이종현 기자>bell@ddaily.co.kr