[디지털데일리 이종현기자] 북한 정찰총국 연계 해킹 그룹 ‘탈륨’의 소행으로 보이는 해킹공격이 발견됐다. 한국 싱크탱크를 사칭해 국내 국방·안보 전문가를 대상으로 하는 스피어 피싱 공격을 수행했다.
9일 보안기업 이스트시큐리티는 한국 싱크탱크 워크샵 행사 내용처럼 위장한 신규 사이버위협 활동을 포착, 주의를 당부했다.
지난 주에 수행된 것으로 확인된 해당 공격은 실존하는 특정 학술원의 안보전략 심층 토론 내용을 이용했다. 행사용 워드(.docx) 문서파일처럼 수신자를 현혹했다.
해당 문서파일에는 MSHTML 원격코드 실행 취약성(CVE-2021-40444)이 이용됐다. 해당 취약점이 작동할 경우 공격자는 액티브X 컨트롤을 통해 추가 악성파일을 대상자 시스템에 설치할 수 있다. 피해자가 문서파일을 열면 취약점이 작동하는 방식이다.
이스트시큐리티 시큐리티대응센터(ESRC)는 공격자의 행동 이력, 거점, 코드 유사도 등을 종합 분석한 결과 탈륨으로 추정된다고 밝혔다. 탈륨은 지난 10월 28일 노태우 대통령 조문 뉴스를 사장한 피싱 이메일 유포 등, 한국을 대상으로 활발한 사이버공격을 펼치고 있는 북한 해킹조직이다. 원자력연구원을 해킹한 의혹도 받고 있다.
ESRC 관계자는 “정부 차원에서 조직적으로 활동하는 사이버위협 조직들이 인터넷에 공개되는 다양한 보안 취약점을 실제 공격에 적극 도입하고 있다”며 “외교·안보·국방·통일 분야 전문가들은 일상적으로 공격자들의 표적이 되고 있으므로 항상 보안 주의에 만전을 기해야 한다”고 조언했다.