북한의 대표적인 해킹 조직 중 하나인 탈륨(Thallium)이 또 다시 본지를 대상으로 사이버 공격을 시도했다. (▶이전 기사 바로 가기 : 北 해커조직, ‘포럼 사회자 요청’ 메일로 본지 해킹 공격 시도)
이번엔 평소 친분이 있던 국내 북한 전문가를 사칭해 악성 파일을 보내는 스피어 피싱(Spear Phishing) 수법을 사용했다. 이는 무차별적인 공격이 아닌 해킹 표적을 분명히 하고 대상이 관심을 끌만한 내용의 이메일 등을 지속적으로 보내는 지능형지속위협(APT, Advanced Persistent Threat) 공격이다.
해커는 지난 20일 본지 대표메일로 ‘문의드립니다.(경남대 000)’라는 제목의 이메일을 본지 편집국장 앞으로 보냈다. 평소에 친분이 있다는 점을 파악하고 이를 활용해 해당 전문가로 사칭한 것이다.
이메일에는 “안녕하십니까. 이상용 국장님. 경남대 000 입니다. 잘 지내고 계시는지요. 제가 지금 통일부에서 청탁받아 ‘한반도정세와 안보패러다임 전환’ 이라는 주제의 원고를 작성하여 놓았습니다. 그래서 국장님에게 코멘트를 부탁드리고자 하는데 시간을 할애해 주실수 있겠는지 해서 이렇게 연락을 드리게 되었습니다”는 내용이 담겨 있었다.
‘안보’가 전문 분야도 아닐 뿐더러 보통 통화로 이야기를 나눴던 인물이 갑작스럽게 이메일로 요청해왔다는 점을 수상히 여긴 편집국장이 당사자에게 확인해본 결과, 해당 전문가는 이메일을 발송하지 않은 것으로 나타났다.
해커가 사회공학적으로 치밀하게 준비하지 않은 상태에서 공격을 했다는 점이 바로 드러난 셈이다.
또한, 해커는 이메일을 발신인의 실제 주소인 ‘ㅁㅁㅁㅁㅁ@hanmail.net’에서 숫자 몇개를 더 붙인 ‘ㅁㅁㅁㅁㅁ21@hanmail.net’로 위장했다. 이는 발신자를 조작해 메일을 보내는 이메일 스푸핑(Email spoofing)이다.
이메일 발신자 주소 조작은 해커들이 자주 사용하는 방법이다. 이 때문에 발신자의 이메일 주소가 정확한지 확인하는 것만으로도 피싱을 상당히 예방할 수 있다.
해당 메일을 전문가에게 분석을 의뢰한 결과 이메일에는 별다른 악성 기능과 악성파일이 없었다.
처음부터 첨부파일을 포함하면 피싱으로 의심받을 것을 염려, 사전 작업용 성격의 이메일을 보낸 것으로 보인다. 이 메일을 통해 공격 대상자의 신뢰를 확보한 후 다음에 발송하는 이메일에 악성파일을 첨부해 보내려는 전략이다.
이메일에도 “귀중한 시간을 내주시면 고맙겠습니다. 그럼 답변 기다리겠습니다”는 내용을 넣어 답장을 요구하고 있었다.
실제 해커에게 답장을 보낸 후 나흘 만에 답신이 왔다. 답신에는 ‘한반도정세와 안보패러다임 전환’이라는 MS워드 파일이 첨부돼 있었다.
해당 파일을 전문가에게 분석을 의뢰한 결과, MS워드의 매크로 기능을 이용한 악성문서로 확인됐다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 “악성 문서를 실행하면 보안 경고 창이 나타나면서 매크로 실행을 유도하는 허위 영어 설명이 나타난다”며 “여기에 속아 콘텐츠 사용 버튼을 클릭하면 악성 매크로 명령이 작동된다”고 말했다.
MS워드의 매크로 기능은 프로그램 취약점이 아니기 때문에 최신 버전을 사용해도 악성코드가 작동된다. 이에 평소에 매크로 기능을 비활성화 시켜두고 경고창이 생길 경우 신중하게 작동시키는 습관을 들이는 게 해킹 예방에 도움이 된다.
문 이사는 “악성파일이 실행되면 한국의 보안업체 주소처럼 위장된 ‘ahnlav-v5’라는 C2(명령제어)서버와 통신을 시도한다”며 “키로깅을 반복 수행해 감염된 시스템의 정보를 수집하고 탈취한다”고 설명했다.
여기서 키로깅은 사용자가 키보드로 PC에 입력하는 내용을 가로채어 기록하는 행위다. 이 때문에 키로깅 공격에 당하면 사용자가 작성하는 문서와 사적인 대화 내용, 심지어 비밀번호까지 탈취될 수 있다.
이어 그는 “이번 공격은 ‘탈륨’ 조직의 공격 명령어와 일치하는 부분이 존재한다”며 “탈륨은 기존에 김수키로 알려진 북한의 해킹 조직과 동일하다”고 덧붙였다.
탈륨은 지난해 미국 마이크로소프트사(社)가 연방법원에 고소한 북한 해킹 조직이다. 김수키는 지난 2014년 한국수력원자력을 공격했으며 최근까지 국내 정치인, 학자, 탈북민, 대북단체 관계자들을 대상으로 APT 공격을 지속해온 북한 해킹 조직이다. 두 조직은 동일하거나 상당히 밀접한 관계에 있는 것으로 알려졌다.
한편, 북한 해킹 조직 탈륨은 최근 국내 대기업의 클라우드 서비스를 사칭해 사이버 공격을 한 것으로 나타났다.
ESRC는 “이번 공격은 국내 대기업에서 제공하는 클라우드 갤러리 서비스에서 공식적으로 발송한 것으로 보이게끔 정교하게 꾸며진 악성 이메일을 특정 대북 분야 종사자에게 발송하는 공격 수법을 사용했다”며 사용자들의 주의를 당부했다.
이메일 본문에는 특정 클라우드 서비스의 갤러리 사용이 확인되었다는 안내와 함께, 메일 수신자의 궁금증을 유발할 수 있도록 강조된 글씨체로 ‘자주 묻는 질문’을 보여준다. 만약 이 문구를 클릭하게 된다면, 공격자가 사전에 설정해둔 악성 URL로 연결된다.
이 같은 피싱 공격은 전형적인 사회공학적 기법의 하나로 사람의 호기심과 심리를 적절히 활용해 파고드는 고전적인 사이버 위협 방식이지만, 그만큼 해킹 효과가 높아 지금도 여전히 널리 사용되고 있다.
