북한 배후로 추정되는 해킹 조직 ‘탈륨’의 새로운 APT 공격 징후가 포착됐다.

이스트시큐리티 시큐리티대응센터(ESRC)는 3일 탈륨이 사용한 이메일 계정을 분석한 결과를 3일 발표했다. 이에 따르면 일부 국내 서비스 주소가 포함됐고 비트코인 키워드를 아이디로 사용하거나 과거 한국에서 보고된 악성 파일과 연관됐다.

ESRC는 또 탈륨 조직이 제작한 것으로 추정되는 여러 종의 최신 악성 파일도 발견했다. 발견된 악성 파일은 ‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’, ‘아시아·태평양 지역의 학술 연구논문 투고 규정’ 등의 문서를 사칭했다.

탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면 / 이스트시큐리티
탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면 / 이스트시큐리티
지금까지 탈륨 조직은 문서 파일(hwp, docx)에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 스피어 피싱 공격 수법을 사용해왔다. 반면 이번에 발견된 악성 파일은 EXE 실행 파일을 그대로 사용해 아이콘이나 파일 확장자만 문서처럼 속여 파일을 실행하도록 유도하는 수법을 썼다.

ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT 표적에 노출됐을 가능성이 높다고 분석했다. 또 발견된 악성 파일 중 일부는 감염된 PC의 정보를 은밀히 유출하는 사이버 스파이 행위를 정상적으로 수행하는 것으로 분석돼 주의가 필요하다고 했다.

문종현 이스트시큐리티 ESRC센터장 이사는 "특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위로 등재돼 있다"며 "정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다"고 당부했다.

장미 기자 meme@chosunbiz.com

키워드