북한 해킹조직으로 알려진 탈륨이 한국 사회 전반에 은밀하게 사이버 공격을 진행 중인 것으로 나타났다. 탈륨은 유명인사나 지인 또는 신뢰할만한 기관으로 위장한 공격을 하고 있어 이메일, 메신저 등을 수신할 때 유의할 필요가 있다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 탈륨은 크게 ▲대북언론 기자와 북한 인권분야 활동 관계자 ▲국내외 방위산업체, 비트코인 거래소, 코로나19 관련 제약회사, 교육연구분야 ▲대북단체, 외교·안보·국방·통일분야 전문가로 표적을 나눠 공격을 진행 중이다.
| 포털사이트, 공공기관 사칭한 공격…”발신자 정보 유심히 살펴봐야” |
지난 18일 본지 기자들을 상대로 한 ‘다음(Daum) 고객센터’, ‘한국전쟁납북가족’, ‘통일 사이버안전센터’ 사칭한 공격이 진행됐다. 분석 결과 모두 탈륨의 소행으로 나타났다.
‘다음(Daum) 고객센터’를 사칭한 이메일은 주소가 ‘notice-alert@daurn.net’이다. ‘daurn’은 얼핏 보면 ‘daum’처럼 보인다. ‘@daum.net’ 도메인을 사용할 수 없는 해커가 공격대상자를 속이기 위해 이메일 주소를 교묘하게 조작한 모습이다.
해당 이메일은 계정에 블랙리스트로 등록된 아이피가 접근했던 이력이 확인됐다면서 비밀번호 변경을 요구하는 내용이었다. 그러나 비밀번호 변경하기 버튼에 연결된 곳은 포털사이트에서 제공하는 비밀번호 변경페이지가 아닌 해커가 미리 설정해둔 가짜사이트였다. 가짜 사이트에 이메일 계정 정보를 입력하면 내용이 해커에게 그대로 전달된다.
‘다음’, ‘네이버’ 등 포털 사이트에서 보낸 메일에는 ‘사람’, ‘N’ 모양의 아이콘이 있다. 일반 사용자가 보낸 메일은 모두 편지 봉투 모양의 아이콘이다. 메일 앞에 있는 아이콘을 주의 깊게 보면 해커의 피싱 공격을 예방하는 데 도움이 된다.
‘통일 사이버안전센터’를 사칭한 공격은 ‘한국전쟁납북가족’이라는 단체에서 업무 연락을 보낸 것처럼 위장됐다. ‘통일 사이버안전센터’ 이름으로만 공격했을 시 의심받을 가능성이 있다고 생각해 ‘한국전쟁납북가족’까지 활용하는 치밀한 작전을 준비한 것이다.
해당 이메일에 첨부된 파일을 받아 실행하면 악성코드에 감염되며 사용자 정보가 해커에게 전달된다.
| 실제 문서로 위장한 스피어피싱 공격… 통일·외교부 장관 이름 이용해 현혹 |
ESRC에 따르면, 지난 11일과 12일에 탈륨은 ‘제헌절 국제학술포럼’, ‘북한비핵화컨트롤타워구축’ 이라는 제목의 문서로 외교·안보·대북분야 관계자를 표적삼았다.
‘제헌절 국제학술포럼’의 문서는 ‘휴전협정 68주년 국제협력포럼’을 안내하는 내용이 담겨 있다. 그러면서 개회식에 통일부장관과 외교부 장관이 참석한다는 글이 포함돼 있다.
신뢰할만한 문서로 위장된 악성 파일을 첨부하는 전형적인 스피어 피싱(Spear Phishing) 수법이다. 그러나 해커는 문서 제목은 제헌절(7월 17일), 내부는 휴전헙정일(7월 27일) 관련 내용으로 만드는 다소 미숙한 모습을 보였다.
문서를 실행하면 정상 화면이 나오지만 보이지 않는 백그라운드에서 악성코드가 실행된다.
ESRC 분석에 따르면 이 문서는 지난 5월 5일 작성됐고, 공격자가 사전에 지정한 ‘rukagu.mypressonline[.]com’ 서버로 명령을 송·수신해 사용자 정보를 탈취한다.
공격을 당한 사람들은 유명인사가 참석하는 회의 안내문으로만 생각하고 공격을 당했다는 사실을 눈치채기조차 힘들다. 피해를 모른 체 계속해서 해커에게 자신의 정보를 넘겨주고 있을 가능성이 높다.
‘북한비핵화컨트롤타워구축’이라는 이름의 문서는 산업자원부, 과기정통부, 국방부, 원자력안전위원회 등의 내용을 포함해 공격에 활용한 것으로 나타났다.
‘북한비핵화컨트롤타워구축’ 문서 역시 실행하면 정상화면을 보여주지만 백그라운드에서 악성코드가 실행된다.
이 공격에 사용된 ‘Bear’라는 계정은 C2(명령제어) 서버 ‘yes24-mart.pe[.]hu/bear’의 하위 경로명과 같다. 해당 계정은 지난해 9월 발생한 탈륨의 공격에서도 포착된 바 있다.
문종현 ESRC 센터장은 “탈륨은 북한식 표현과 글자체(천리마체), 이름(리영민) 등을 사용한 것이 포착된 바 있다”며 “스피어피싱과 공급망 공격을 함께 쓰며, 윈도 운영체제뿐만 아니라 안드로이드와 맥용 악성 파일을 유포한 이력도 존재한다”고 주의를 당부했다.
이어 문 센터장은 “외교·안보·국방·통일 및 대북분야 종사자들은 경각심을 높여 항상 대비하는 자세와 노력이 요구된다”며 “민관의 긴밀한 대응도 필요하다”고 덧붙였다.
