최근 통일부 직원을 사칭해 피싱(Phishing)을 시도한 북한 해킹조직 탈륨이 이번에는 한국인터넷진흥원(KISA)으로 위장해 사이버 공격을 한 것으로 나타났다. ‘통일부 직원 사칭’ 피싱 메일이 언론에 노출되자 일부 내용만 변경해 다시 한번 공격을 시도한 모습이다.
이광백 데일리NK 대표는 지난 13일 ‘김00 <kimkisa11@daum.net>‘이라는 사람에게 ‘210813_업무연락(사이버안전)’이라는 제목의 이메일을 수신했다.
해당 메일에는 특별한 내용은 없고 ‘210813_업무연락(사이버안전)’이라는 문서만 첨부돼 있었다.
이와 관련, 최근 통일부 직원을 사칭한 공격에 사용된 악성 문서는 ‘210811_업무 연락(사이버안전).doc’였다. (▶관련기사 : 지속되는 북한 해커의 사이버공격…이번엔 ‘통일부 직원 사칭’)
이스트시큐리티 시큐리티대응센터(ESRC)에 분석을 의뢰한 결과 해당 문서는 암호가 걸려 있어 열람을 할 수 없었다.
패스워드를 요청하는 이메일을 회신하면 해커가 비밀번호를 다시 보내주는 방식이다.
탈륨은 HWP, 워드(DOC) 등 문서형 악성 파일을 전송할 때 보안 프로그램의 탐지 회피와 의심을 최소화하기 위해 프로그램의 자체 비밀번호 설정 기능을 악성코드에 적용해 보내고 있다.
이는 공격 대상자의 이메일 수신 여부, 파일 열람 등을 파악함과 동시에 피싱 표본이 보안 전문가들에게 넘어가지 않도록 안전장치를 마련하려는 전략이다.
해커에게 이메일로 패스워드를 요구하자 그는 이내 답장을 보내왔다.
해커는 이메일로 “너무 죄송합니다.대표님. 제가 그만 실수를 한것 같습니다. 비밀번호는 cyber08^입니다”라고 말했다. 그러면서 이메일 끝에 ‘김00 선임연구원’이라고 밝혔다.
해커가 보낸 악성파일에 패스워드를 입력했더니 ‘사이버공격 대응 방법 안내’라는 제목의 업무연락 문서가 나타났다. 문서는 “‘한국인터넷진흥원’의 공지사항을 공유해드리니 피해사례가 발생하지 않도록 각별히 유념하여 주시기 바랍니다”라는 내용이 담겨 있었다.
문서 발신자는 “한국인터넷진흥원 종합분석팀 김00 선임연구원”이다. 이메일이 나온 김00 선임연구원과 이름이 같다. 해당 인물은 실제 KISA의 직원이다.
북한 해커가 통일부 직원 사칭에 이어 KISA 직원으로 위장한 공격을 수행한 모습이다
‘김00 선임연구원’이라고 신분을 밝혔지만 이메일 상단에 발신자 명은 ‘인터넷’으로 되어 있다. 해커가 발신자를 조작하면서 실수한 것으로 보인다.
문종현 ESRC 이사는 “이번 공격 역시 지난번 통일부 직원 사칭과 마찬가지로 탈륨의 소행이다”며 “ 공격에 사용된 문서는 일반적인 매크로 기반 악성파일이다”고 말했다.
매크로 기반 악성파일은 DOC문서 내부 기능인 ‘매크로’에 악성 코드를 숨겨 놓는 방식이다. 사용자가 매크로 사용 버튼을 누르면 악성코드가 실행되고 해커가 미리 설정해둔 C2 서버에서 추가 악성 파일이 다운로드 된다.
이에 신뢰할 수 없는 문서에서 ‘매크로 실행’, ‘콘텐츠 사용’ 등의 버튼을 클릭하지 않는 보안 습관을 지니는 것이 매우 중요하다.
한편, 탈륨은 지난 2019년 미국 마이크로소프트가 자신들의 인터넷 계정을 도용한 혐의로 미연방법원에 고소한 북한 해킹조직이다.
탈륨은 지난 2014년 한국수력원자력을 공격한 김수키(Kimsuky)와 동일한 조직으로 알려져 있다. 김수키는 최근 한국원자력연구원, 핵융합연구원, 항공우주연구원 등을 공격한 배후로 지목된 바 있다. 북한 해커들이 개인과 기관을 가리지 않고 전방위적인 공격을 펼치고 있어 주의가 필요하다.
