북한 해킹조직 ‘탈륨(Thallium)’이 통일부를 사칭해 피싱 공격을 시도하는 것으로 나타났다.
이스트시큐리티는 24일 “북한 연계 사이버 공격 조직의 소행으로 추정되는 이메일 해킹 공격이 발견됐다”며 “이번 APT(지능형지속위협) 공격은 ‘탈륨(Thallium)’ 등으로 알려진 북한 연계 사이버 공격 조직의 소행으로 추정된다”고 밝혔다.
APT 공격은 오랜 기간에 걸친 지속적인 해킹을 시도해 개인정보와 같은 중요한 데이터를 훔치려는 공격이다. 탈륨은 한국과 미국 등지에서 활동하는 APT 공격 그룹 중 가장 활발한 사이버 첩보 활동을 전개하고 있는 조직 중 하나로 주로 정치·외교·안보·통일과 대북 분야 종사자를 대상으로 지속적인 위협을 전개하고 있다.
이스트시큐리티는 “발신지를 통일부 이메일처럼 보이도록 정교하고 교묘하게 조작한 수법이 특징이다”며 “공격자는 이메일 발신지 주소를 조작하기 위해 별도의 이메일 서버를 구축한 것으로 분석된다”고 밝혔다.
발신자 조작으로 이메일 수신자의 경계심을 피하려는 공격자의 전략 중 하나다.
실제 공격에 사용된 악성 이메일의 발신지 주소는 ‘통일부 <nkanalysis@unikorea.go.kr>’로 수신자가 정상적인 이메일로 착각하고 열어볼 가능성이 매우 크다.
이스트시큐리티는 “이메일 내용을 살펴보면 본문에는 통일부에서 발행한 것처럼 표현된 문서 첫 장의 이미지가 삽입되어 있다”며 “하단에는 통일연구원(KINU) 문서가 첨부된 듯이 URL 링크가 삽입돼 클릭을 유도한다”고 설명했다.
그러면서 이스트시큐리티는 “이때 링크를 클릭하면 문서가 보이는 대신 이메일 수신자의 암호 입력을 요구하는 화면이 나타난다”며 “암호를 입력하게 되면 해당 정보가 공격자에게 유출돼 이메일 내용이 노출되는 것은 물론, 계정을 무단 도용해 주변 지인에게 후속 공격 메일까지 발송되는 등 가해자로 전락할 가능성도 있다”고 주의를 당부했다.
여기에 공격자는 암호를 탈취된 직후 최대한 해킹 피해 사실을 인지하지 못하도록 통일연구원에서 공식 배포한 문서를 보여주는 치밀함도 보였다. 이메일 수신자가 해킹 사실을 인지하지 못하면 지속해서 해커에게 정보가 유출된다. 여기에 차후 해커가 공격 수단으로 이메일 수신자의 컴퓨터를 활용될 가능성도 있다.
문종현 이스트시큐리티 ESRC 센터장은 “정부 주요 기관으로 사칭한 교묘하고 노골적인 사이버 위협이 국지적으로 활발하게 진행되고 있다”며 “사이버 공간의 특성상 위협 식별이 쉽지 않아 각별한 주의와 대비가 필요하다”고 말했다
문 센터장은 “코로나19 영향으로 기업과 기관의 재택근무 추세와 맞물려 사이버 위협 수위도 개인별로 높아졌다”며 “보안 사각지대가 없도록 더욱 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때다”라고 당부했다.
이어 그는 “정교하고 지능적으로 조작된 발신지 사칭 공격 수법에 속아 최신 위협에 노출되지 않도록 최신 위협 사례에 더 많은 관심과 대비가 필요하다”며 “공격자가 단순 개인이 아닌 북한 당국 차원에서 체계적으로 운용되고 있기 때문에, 반드시 국가 사이버 안보 측면에서 유관기관이 함께 해결 방안을 모색하고 접근해야 한다”고 덧붙였다.
한편, 해커가 사용한 이메일 중 북한식 표현이 사용된 점이 눈에 띈다.
해커가 악성 문서로 활용한 파일은 통일연구원의 ‘조선노동당 제8차 대회 분석(2): 경제 및 사회문화 분야’다. 하지만 해커가 발신한 해킹 이메일 화면에는 ‘조선노동당’이 아닌 ‘조선로동당’으로 표기되어 있었다.
해커가 이메일에 글자를 입력하면서 평소 언어 습관대로 두음법칙을 사용하지 않은 모습이다.
일반적으로 해커를 특정하는 건 쉽지 않다. 그러나 전문가들은 특정 지역에서 사용하는 언어나 코딩 시 나타나는 평상시 버릇, 실수로 노출한 IP 등을 종합적으로 분석해 국가나 조직을 특정하거나 유추하고 있다.