북한의 해킹조직 탈륨(Thallium)이 신종 코로나바이러스 감염증(코로나19) 관련 기부증서를 사칭한 스피어피싱(Spear Phishing) 공격을 수행한 것으로 나타났다. 연말정산 시즌에 접어들면서 관련 서류 준비에 대한 관심이 높아지자 이를 이용해 피싱을 시도하려는 모양새다.
이스트시큐리티 시큐리티대응센터(ESRC)는 지난 24일 “2021 코로나19 대응을 위한 기부금 영수증 발급 신청서 문서로 사칭한 해킹 공격 정황이 포착됐다”며 “연말정산 시즌에 맞춰 마치 국내 특정 민간 구호협회에서 보낸 기부금 영수증 발급 신청서 이메일처럼 교묘하게 위장했다”고 밝혔다.
ESRC에 따르면, 이메일에는 ‘2021코로나19대응_기부증서.zip’ 이름의 압축파일이 첨부돼 있었고, 압축을 풀면 ‘2021코로나19대응_기부증서.pdf’ ‘다량 기부금영수증 발급 신청서_양식_개인.xlsb’이라는 파일이 나온다.
여기서 ‘2021코로나19대응_기부증서.pdf’ 파일은 국내 민간단체의 기부증서로 위장된 파일로 드러났다.
또한 ‘다량 기부금영수증 발급 신청서_양식_개인.xlsb’는 MS Excel 바이너리 워크시트(.xlsb) 파일로, 실행할 경우 마치 보호된 파일처럼 화면을 보여주고 ‘콘텐츠 사용’ 버튼 클릭을 유도한다.
문제는 ‘콘텐츠 사용’ 버튼을 누르면 공격자의 명령제어(C2) 서버로 접속돼 악성 스크립트가 실행된다는 점이다. 이후 사용자의 컴퓨터는 공격자의 의도에 따라 언제든지 추가 공격이 가능한 상태가 된다.
연말정산이 한창인 요즘 기부금 세액공제 자료를 준비하는 사람들을 노린 공격이다. 해당 기관에 실제 기부를 한 사람이라면 의심없이 파일을 실행시켜 피해를 당할 우려가 있다. 매크로 기능 실행을 요구하는 파일은 피싱을 의심해보고 가급적 실행을 하지 않는 것이 해킹 예방에 도움이 된다.
| 돈·이슈 민감한 北 해커… 최근 키워드는 ‘주식’ ‘비트코인’ ‘바이든’ ‘코로나’ ‘재택근무’ |
북한 해커들은 지속해서 사회적으로 관심이 높은 주제를 이용한 공격을 이어가고 있다. 사회공학적 기법을 이용해 노골적이고 대담하게 사용자들의 경계심을 허물고 공격을 감행하는 모습이다.
탈륨은 이달 초에는 사설 주식투자 프로그램 공급망을 노리고 공격을 시도했다.
ESRC에 따르면, 주식 투자 공급망 공격은 기부 증서를 이용한 공경과 악성 문서 파일, TTPs(Tactics, Techniques, Procedures)가 상당한 관련이 있는 것으로 나타났다.
최근 국내에 ‘빚투’ 열풍이 불 정도로 주식투자에 대한 관심이 높아지자 금전적 이익을 위해 투자자들을 노렸을 가능성이 제기된다.
비슷한 맥락에서 북한 해커들은 가격이 급상승한 비트코인을 노린 공격도 계속하고 있다. 개인, 거래소 가리지 않고 전방위적인 공격을 시도하고 있어 주의가 요구된다.
또한 북한 해커들은 정치, 사회적 이슈를 이용한 공격도 수행하고 있다.
탈튬은 지난 18일 미국 바이든 행정부 출범과 외교 안보 정책에 대한 설문지 문서처럼 사칭해 해킹을 시도했다. 새롭게 들어서는 바이든 행정부에 대한 세간의 관심이 높다는 점을 이용한 공격이다.
북한 해커들은 과거 남북정상회담, 북미정상회담, 미국 대선 등을 매개로 한 공격도 수행한 바 있다.
코로나로 인해 재택근무를 하는 사람들을 노린 공격도 곳곳에서 포착되고 있다. 회사에 비해 보안이 취약한 개인용PC나 홈네트워크 등을 노리거나 근무자들을 해커가 만들어 놓은 가짜 회사 사이트를 유도하고 있다. 북한 해커들이 변화된 환경을 노린 공격을 시도하는 만큼 이에 맞는 보안의식 제고가 필요한 상황이다.
전문가들은 해커의 공격을 예방하기 위해서는 이메일 발신자에게 발송 여부를 확인하고 의심스러운 파일은 실행하지 않는 것이 좋다면서 강조하고 있다. 특히 해커의 공격이 정부 기관, 지인 등을 사칭하는 경우가 많아 각별한 주의가 필요하다고 당부하고 있다.
