침해사고/위협동향

바이든 행정부 출범 설문 위장한 해킹 공격··· 北 해커그룹 ‘탈륨’ 소행 추정

이종현
설문을 가장한 악성문서파일
설문을 가장한 악성문서파일
[디지털데일리 이종현기자] 미국이 조 바이든 행정부의 출범이 오는 20일로 다가온 가운데 이를 이용한 해킹 공격이 발견됐다.

18일 보안기업 이스트시큐리티는 미국 바이든 행정부 출범 기획 설문지로 위장한 해킹 공격이 수행되고 있어 주의가 필요하다고 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격의 배후로 ‘탈륨’을 지목했다. 탈륨은 국제사회에서 북한 정부가 연계한 것으로 알려진 해킹 조직으로 올해에도 지능형지속위협(APT) 그룹 중 가장 활발한 움직임을 보이고 있다.

탈륨은 2019년 말 미국 마이크로소프트(MS)로부터 정식 고소를 당하며 국제 사회에 주목을 받았다. 김수키(Kimsuky)와 동일 그룹이다.

이들은 한국과 미국 등을 포함해 글로벌 위협 활동을 펼치고 있다. 대북 분야 민간단체나 정치·외교·안보·통일·국방 분야 전·현직 관계자를 대상으로 사이버 침투 활동을 전개하고 있다. 북한과 관련된 내용을 취재하거나 연구하는 언론사 기자, 대학 교수 등도 탈륨의 공격 대상이다.

ESRC가 포착한 이번 공격은 18일 발견됐다. 바이든 행정부 출범과 외교 안보 정책에 대한 설문지 문서처럼 사칭한 악성 문서 파일을 사용했다.

악성 문서파일(.doc)을 실행하면 MS 오피스 업데이트로 가장한 허위 영문 메시지롤 보여주고 상단의 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 이 버튼을 클릭할 경우 악성 매크로 기능이 활성화돼 매크로에 포함된 악성 명령이 동작하는 형태다.

ESRC 분석에 의하면 사용자가 문서 내용을 확인하기 위해 콘텐츠 사용 버튼을 누르면 컴퓨터에 설치된 백신 프로그램 정보 등을 수집하고 해커의 서버와 통신해 정보 탈취와 추가 악성 파일 다운로드를 시도한다.

이 서버는 탈륨 조직의 ‘페이크 스트라이커’ APT 캠페인에서 자주 목격된 호스팅 서비스와 일치한다.

또 추가로 다운로드 시도되는 페이로드 기능의 악성 파일은 사용자 정보를 수집해 공격자에게 전송하는 전형적인 스파이웨어 활동을 하게 된다.
통일연구원을 사칭한 해킹 메일
통일연구원을 사칭한 해킹 메일

이스트시큐리티는 탈륨이 이번 공격 외에 지난 15일 대북 분야 전문가를 대상으로 해킹 이메일을 대거 유포한 정황도 포착했다.

발견된 공격은 이메일 발신자를 통일연구원처럼 보이도록 조작했고 본문에 포함된 연구 동향 이미지를 클릭하면 특정 피싱 서버로 접속해 이메일 암호 입력을 유도하는 것으로 분석됐다.

만약 메일 수신자가 암호를 입력할 경우 그 정보가 공격자에게 탈취됨과 동시에 정상적인 PDF 문서가 다운로드된다. 이용자는 정상 문서가 다운로드된 만큼 피해 사실을 인지하기 어렵다.

문종현 이스트시큐리티 ESRC 센터장은 “2021년에도 탈륨 조직의 사이버 안보 위협 활동이 꾸준히 진행되고 있다. 한국의 정부 기관을 사칭하는 등 갈수록 과감하고 노골적인 수법으로 공격을 전개하는 중”이라며 “유사한 공격에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다.

이어서 그는 “최근 공격자들이 일정 기간 정상 이메일을 보내 상호 신뢰도를 높인 후 악성 파일이나 인터넷주소(URL) 링크를 보내는 등 시나리오 기반의 시간차 공격을 구사하기도 한다”며 “또 이메일 자체 취약점을 개발하는 등 공격 기법이 지능화되고 있다. 항상 의심하고 조심하는 보안 의식이 필요하다”고 부연했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널