통신선 복원 해놓고…북한, 뒤로는 新 무기로 南 사이버 공격

해킹

북한 해커들이 새로운 공격 방식을 개발해 외교, 안보 국방 통일 분야 전·현직 장차관급 고위인사를 지속 공격한 것으로 나타났다. 최근 북한이 남북 통신연락선이 복구하는 등 관계 회복 움직임을 보이면서도 은밀히 사이버 공격을 지속하고 있는 모습이다.

이스트시큐리티 시큐리티대응센터(ESRC)는 3일 “국내에서 악성 ‘PDF 문서 파일’을 활용하는 새로운 형태의 지능형지속위협(이하 APT) 공격이 계속해서 발견되고 있다”며 “이번 공격은 지난 5월부터 현재까지 국내 외교, 안보, 국방, 통일 분야 전·현직 종사자 등을 대상으로 하는 해킹에 사용된 것으로 확인됐다”고 밝혔다.

ESRC는 이어 “이번 PDF 취약점 공격에 사용된 기술과 전략을 심층 분석한 결과를 북한 연계 해킹 조직으로 알려진 ‘탈륨(Thallium)’이 위협 배후로 지목됐다”고 전했다.

탈륨은 미국 마이크로소프트가 자신들의 인터넷 계정을 도용한 혐의로 미연방법원에 고소한 북한 해킹조직이다. 탈륨은 최근 한국원자력연구원, 핵융합연구원, 항공우주연구원 등을 공격한 김수키(Kimsuky)와 동일한 조직으로 알려져 있다.

문종현 ESRC 센터장은 “이번 탈륨 조직의 APT 공격 캠페인은 국내 전·현직 장차관급 유력인사와 함께 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다”며 “기존에 유행했던 DOC 악성 문서 형태와 더불어 PDF 취약점을 활용한 공격도 가세하고 있어, PDF 파일을 이메일로 전달받을 경우 세심한 주의와 대비가 요구된다”고 당부했다.

탈륨은 최근까지 MS 워드 문서 파일(DOC, DOCX)의 매크로 기능을 악용하는 감염 기법을 주로 활용해왔다. 그러나 최근에는 PDF 취약점을 활용하는 기법으로 변화를 시도하고 있다.

실제, 해커는 이번에 공격에 국내 특정 사단법인이 주관하는 ‘평화 경제 최고경영자 과정’ 안내 PDF 파일을 이용했다.

이메일에 첨부된 PDF 파일을 열어보면 관련 실제 안내 자료가 보이지만 이면(裏面)에서는 숨겨진 스크립트 코드가 작동된다. 공격 대상자자 해킹을 당했다는 사실을 인지하지 못하게 하려는 해커의 전략이다.

이후 명령제어(C2) 서버와 통신을 시도해 공격자가 지정한 명령을 순서대로 수행하며, 조건에 따라 추가 악성 파일을 설치해 민감한 개인 정보를 탈취하거나 원격제어 등을 시도할 수도 있다.

공격자는 악성 행위 탐지와 분석 환경을 회피하기 위해, 감염된 PC가 사용하고 있는 국내 보안 프로그램을 조회하고 레지스트리 키를 통해 가상(VMware) 환경 여부도 확인하는 치밀함을 보였다.

감염시킨 컴퓨터가 보안전문가로 판단되면 악성 파일을 설치하지 않는다는 이야기다. 보안 전문가들에게 자신들의 악성 파일이 분석 당하고 증거로 이용되는 것을 막기 위한 조치이다.

ESRC는 “일반적으로 PDF 형식의 문서 파일이 보안으로부터 안전하다는 인식이 있어, 자칫 보안 수칙 준수를 허술하게 할 수 있다”며 “더는 PDF 문서 파일도 안전하지 않다는 인식을 해야 한다”고 강조했다.

한편, 국가정보원은 최근 국내 사이버 위협 상황을 반영, ‘공공분야 사이버 위기 경보’를 3일 9시 정각을 기준으로 ‘정상’에서 ‘관심’ 단계로 상향했다.