[디지털데일리 이종현기자] 보안기업 이스트시큐리티는 최근 외교·안보·국방·통일 분야에 종사하는 전문가나 관계자를 겨냥한 이메일 해킹 시도가 연이어 발견됐다고 20일 밝혔다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 공격의 배후로 해킹조직 ‘탈륨’과 ‘라자루스’를 지목했다. 북한 정부를 배후로 둔 조직으로 알려진 두 조직은 전 세계를 대상으로 활발한 지능형지속위협(APT) 공격 활동을 펼치고 있다.

탈륨과 라자루스는 국내 외교·안보·국방·통일 분야 종사자를 주요 공격대상으로 삼아 사이버 위협 활동을 펼치고 있다. 일부 방위산업, 군사 전문가들까지 공격에 노출된 것으로 분석된다.

공격 방식은 이메일에 악성 .doc 문서를 첨부하는 전통적인 방식이 주를 이룬다. 수신자를 현혹시키기 위한 위협 시나리오를 사용해 방심하다간 쉽게 당할 수 있다.

이번에 발견된 공격에는 ‘안보 연구 평가 설문’을 사칭한 이메일 공격 수법이 활용됐다. 공격자가 수신자에게 최초로 발송한 설문지 안내 파일에는 위협 요소가 전혀 없는 정상 문서로 첨부돼 수신자로 하여금 의심을 낮추고 신뢰도를 높였다. 이후 이메일에서는 사례금 지급을 미끼로 수신자의 심리를 자극해 악성 문서를 열람토록 유도하는 전략을 구사했다.

ESRC는 최근 포착된 여러 사례를 종합 분석한 결과 탈륨 조직이 프로톤메일 서비스를 공격에 도입한 것으로 보인다고 전했다. 프로톤메일은 스위스 제네바에서 2013년 설립된 종단간 암호화 이메일 서비스로 보안 기능이 높아 랜섬웨어 제작자들이 비트코인을 요구하거나 협상시 활용하는 대표 이메일 서비스라는 설명이다.

또 라자루스는 .odc 문서 파일 내부에 조작된 ,png 포맷의 데이터를 삽입하고 이 데이터를 .bmp 포맷으로 변환하는 공격 방식을 취했다. 이미지에 몰래 악성코드를 은닉하는 ‘스테가노그래피’ 기법으로 문서를 실행하면 내부에 숨겨둔 악성 스크립트가 호출되는 방식이다.

이와 유사한 ‘참가신청서양식.doc’, ‘생활비지급.doc’ 등 파일을 활용한 공격 사례가 포착되고 있다. 해당 공격들은 워드프로세서의 ‘콘텐츠 사용’ 버튼을 누르면 악성 매크로 기능이 실행돼 주의가 필요하다.

ESRC 관계자는 “악성 매크로 실행시 초기 화면에 ‘프로그람’이라는 단어가 들어가 있다. 프로그람은 프로그램을 의미하는 대표적 북한식 영어 표기다. 사용하는 언어나 습관, 문화적 차이로 인해 발생하는 흔적들은 사이버 위협 배후 조사에 있어 중요한 증거 지표로 활용된다”고 말했다.

문종현 이스트시큐리티 ESRC 센터장은 “최근 악성 .doc 파일을 이용한 스피어 피싱 공격이 기승을 부리고 있다”며 “.doc 매크로 공격이 상대적 우위를 점하고 있지만 hwp 문서 내부에 악성 OLE 개체를 삽입하는 방식도 관촬되는 만큼 최신 버전의 오피스 프로그램을 사용하고 보안 기능을 상향 설정하는 것이 요구된다”고 조언했다.

한편 이스트시큐리티는 새롭게 발견된 악성 파일을 자사의 보안제품 ‘알약’에 긴급 추가한 뒤 관련 부처와 함께 대응 조치를 진행하는 중이다.

<이종현 기자>bell@ddaily.co.kr