북한 해킹조직으로 알려진 탈륨이 통일부 직원으로 속인 사이버 공격을 진행한 것으로 나타났다.
이스트시큐리티(ESRC)는 13일 보도자료 통해 “통일부 직원의 업무 메일을 사칭한 지능형 지속위협(APT)이 발견되었다”며 “이번 악성 이메일 공격은 정착지원과의 모 사무관이 발송한 것처럼 위장하고 있다”고 밝혔다.
공격 목표 대상자의 경계심을 낮추기 위해 유관단체 관계자나 지인으로 발신자를 조작하는 사회 공학 기법이 사용된 모습이다.
그러면서 이스트시큐리티는 “이번 공격을 심층 분석한 결과 지난 5월 북한 연계 해킹 조직 ‘탈륨’이 수행한 공격과 동일한 계열의 코드 등 유사점을 발견했다”고 말했다.
탈륨은 지난 2019년 미국 마이크로소프트가 자신들의 인터넷 계정을 도용한 혐의로 미연방법원에 고소한 북한 해킹조직이다. 탈륨은 최근 한국원자력연구원, 핵융합연구원, 항공우주연구원 등을 공격한 김수키(Kimsuky)와 동일한 조직으로 알려져 있다.
문종현 ESRC 센터장은 “현재 북한 연계 해킹 조직의 대남 사이버 공작 활동이 예사롭지 않고, 외교·안보·국방·통일 및 대북 분야에서 활동하는 고위 유력인사를 집중적으로 겨냥해 공격을 수행하고 있다”며 “이메일로 PDF, DOC 형식의 문서를 전달받을 경우, 문서를 열어보기 전 이메일 발신자에 전화 등을 통해 실제 발송 여부를 확인하는 것이 중요하다”고 당부했다.
이번 공격에 사용된 이메일에는 ‘최근 유명 인사를 노린 사이버 공격이 전방위로 진행되고 있어 안전에 유의를 부탁한다’는 내용과 함께, ‘210811_업무 연락(사이버안전).doc’ 이름의 악성 문서 파일이 첨부됐다.
악성 DOC 문서 파일 내부에는 악성 매크로 코드가 숨겨져 있으며, 추가 악성 명령을 수행하기 위해 국내 특정 고시학원 사이트 서버를 탈취해 명령 제어 서버(C2)로 활용한 것으로 나타났다.
실제로 이메일 수신자가 첨부된 악성 DOC 문서를 열어보면, ‘호환성 문제로 콘텐츠를 불러올 수 없으며, 정상적인 문서 확인을 위해서 [콘텐츠 사용] 버튼을 클릭하라’는 내용의 위조된 안내 화면이 나타난다
이메일 수신자가 첨부 악성 문서를 열고 의심 없이 [콘텐츠 사용] 버튼을 클릭하면 해커가 사전 설정한 악성 매크로가 동작해 해킹 명령이 은밀하게 작동된다. 이에 신뢰할 수 없는 문서의 경우 이 버튼을 클릭하지 않는 보안 습관을 지니는 것이 매우 중요하다.
| 탈륨, 본지 대상으로도 끈질긴 공격 |
북한 해킹조직의 공격이 계속되는 가운데 본지를 대상으로 한 공격도 포착되고 있다.
본지 이광백 대표는 지난 9일과 10일 연속으로 네이버 고객센터를 사칭한 피싱 메일을 수신했다. 첫 번째 메일은 ‘아이디 보호 해제 안내’, 두 번째는 ‘회원님의 로그인 아이디가 충돌하였습니다’라는 제목이다.
두 이메일의 도메인은 모두 ‘@nevercorp.com’이다. ‘네이버 Corporation’에서 발송한 메일처럼 속이려는 의도이다
두 이메일에 있는 악성 링크는 모두 ‘nid.naverccrp[.]com’으로 연결된다. 이메일 발신 서버와 악성링크 주소가 조금 다름 점이 눈에 띈다. 악성 링크 역시 사용자가 네이버로 연결되도록 착각하게 만들려는 속셈이다.
두 이메일에 발송에 사용된 서버 도메인 주소는 ‘mireene[.]com’이며 IP는 ‘101.79.5.222’로 동일하다. 악성 메일에 사용된 도메인 주소는 탈륨이 과거부터 이용해 온 곳이다.
또한, 최근 탈륨은 통일연구원을 사칭해 본지 편집국장도 공격했다.
본지 편집국장은 지난 4일 통일연구원과 북한연구학회가 연구에 사용될 설문조사 의뢰 메일을 수신했다.
이메일은 ‘한반도 군비경쟁과 평화정착 방향’에 대한 연구용 설문조사를 의뢰였다. 그러나 메일에는 설문조사 문서 파일이 첨부돼 있지 않았다. 관심을 보이고 회신을 한 사람에게 악성 파일을 보내주는 방식의 피싱 공격이다. 실제 메일에 설문조사 문서를 요구하는 내용의 답장을 보냈더니 해커는 파일을 보내왔다. 파일을 구글 드라이브에 연결된 문서로 위장돼 있었다. 파일을 클릭하면 ‘unmunsa[.]or.kr/‘으로 연결되며 화면에는 구글 계정을 입력하도록 유도한다. 이메일 계정을 탈취하려는 수법이다.
다른 언론사에는 같은 내용으로 직접 악성 파일을 보냈던 것과 달리 본지를 대상으로는 계정 탈취를 시도한 모습이다. 같은 내용이지만 대상자에 따라 공격 방법을 달리하는 모습이다.
북한 해커들이 정부, 기관, 기업 등으로 위장해 피싱 공격을 계속하는 만큼 각별한 주의가 필요한 상황이다. 이메일 수신시 발신자, 내용등을 꼼꼼히 살펴한다. 첨부파일을 열람할 시 발신자에게 이메일 발송 여부를 확인하는 습관을 가지는 것이 피싱 예방에 도움이 된다.
