北 해킹 그룹 탈륨, ‘내부 소식’ 미끼로 피싱 공격 시도

악성 문서 작동 시 북한 내부 소식으로 이용자를 현혹하는 문서 화면. /사진=이스트시큐리티 제공

북한 해킹 그룹으로 알려진 탈륨(Thallium)이  내부 소식을 미끼로 대북단체 관계자들을 공격하고 있어 주의가 요구된다.

이스트시큐리티는 30일 “북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요하다”며 “공격자는 실제 탈북민이나 대북 소식통으로 신분을 위장해 최신 북한 뉴스를 제공하겠다는 식으로, 대북 분야 활동가나 전문연구원 등에 접근해 해킹을 시도하고 있다”고 밝혔다.

이번 공격은 초반 일정 기간은 정상적인 이메일을 여러 차례 보내 대상자를 먼저 안심시키는 사전 준비과정을 거치고, 자신을 믿는다고 판단된 순간 악성 파일을 전달하는 일종의 투-트랙 공격 전략을 구사했다는 것이 이스트시큐리티의 설명이다.

이스트시큐리티는 “일반적인 스피어 피싱 공격은 처음부터 이메일에 악성 파일을 첨부해 수신자로 하여금 즉시 실행을 유도한다”며 “하지만 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 나름 치밀한 시나리오를 활용하고 있다”고 말했다.

이어 단체는 “공격자는 HWP, DOC 등 문서형 악성 파일을 전송할 때는 보안 프로그램의 탐지와 의심을 최소화하기 위해 문서작성 프로그램의 자체 암호 설정 기능을 악성코드에 적용해 보낸다”며 “이후 이메일을 회신한 사람에게만 해제 암호를 제한적으로 전달하는 1:1 맞춤형 감염 수법을 사용한다”고 설명했다.

공격 대상자가 이메일 수신 여부, 파일 열람을 했는지 여부를 파악함과 동시에 피싱 표본이 보안 전문가들에게 넘어가지 않도록 안전장치를 마련하려는 전략으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “HWP 문서 파일 공격이 사람의 심리와 호기심을 자극하는 방식으로 꾸준히 발전하고 있다”며 ”이번 공격의 배후로는 특정 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨’ 소행으로 보인다”고 밝혔다.

‘탈륨’은 북한과 연결된 해킹 조직으로 알려졌다. 지난해 미국 마이크로소프트사는 이 같은 사실은 언급하면서 탈륨을 연방 정부에 고소한 바 있다.

탈륨은 ‘김수키(Kimsuky)’라는 이름으로도 알려져 있으며, 최근 한국과 미국 등에서 연이어 사이버 위협 주의보를 발령하는 등 지능형 지속위협(APT) 그룹 중 가장 활발한 첩보 활동을 전개하고 있다.

김수키는 지난 2014년 한국수력원자력을 해킹한 북한 해킹 조직으로 국내 북한 관련 인사들을 대상으로 한 공격을 지속하고 있다.

악성 파일에 남겨진 공격자의 악성 파일 제작 폴더 경로 화면 / 사진=이스트시큐리티 제공

실제 이번 공격에는 북한 소행으로 유추할 수 있는 단서가 상당히 담겨 있는 것으로 나타났다.

이스트시큐리티는 “공격에 활용된 여러 코드를 살펴본 결과, 공격자는 실제 북한 언어 표현에 능통하다”며 “악성 파일 내부에선 제작자가 의도하지 않게 남긴 흔적이 발견됐다”고 말했다.

문종현 ESRC 이사는 “탈륨 조직의 공격 대상 리스트에는 정치·외교·안보·통일·국방 전·현직 관계자를 포함해 주요 정부 기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들이 포함되어 있다”며  “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 위협 수위는 갈수록 증대되고 있어 유사 위협에 노출되지 않도록 주의와 관심이 요구된다”고 당부했다.

이어 그는 “대북 분야 관계자와 정상적 이메일을 여러 차례 주고받아 의심을 최소화 후, 수일이 지난 후에 악성 파일이나 URL 링크를 보내는 등 사전에 치밀하게 준비된 시나리오 기반의 시간차 공격전략을 구사하고 있다”며 “항상 의심하고 조심하는 보안 의식이 절실할 때”라고 덧붙였다.