Home > 전체기사
[긴급] 해킹그룹 탈륨, 통일부 북한인권기록센터 위장 공격
  |  입력 : 2020-10-06 14:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
통일부 북한인권기록센터 발송처럼 사칭한 정교한 해킹 이메일로 공격 시도
美 MS사에 고소당한 특정 정부 연계 ‘탈륨(Thallium)’ 해킹 조직, 대북 단체 대상 공격↑
북한인권보고서 북한인권백서-2020 문서 파일로 위장한 악성 파일 첨부해 전송
TA551 악성 DOC 문서에서 사용된 매크로 실행 유도 화면 지속 사용


[보안뉴스 원병철 기자] 통일부 북한인권기록센터에서 보낸 것처럼 위장한 스피어피싱 해킹 공격이 대북 관련 단체를 대상으로 펼쳐지고 있어 관계자들의 주의가 요구된다. 통합보안 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)는 이번 공격의 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’을 지목했으며, 최근 연이어 발생하는 지능형지속위협(APT) 그룹 중 가장 활발한 움직임이 포착되고 있다고 설명했다.

▲통일부 북한인권기록센터에서 보낸 것처럼 사칭한 해킹 이메일 화면[자료=이스트시큐리티]


탈륨은 지난해 미국 마이크로소프트(MS)로부터 고소를 당하며 국제 사회에 주목을 받은 해킹 조직으로, 한국에서는 대북 및 탈북 분야 민간단체를 포함해 정치·외교·안보·통일·국방 전현직 관계자를 주요 해킹 대상으로 사이버 첩보 활동을 활발히 전개하고 있다. 이외에도 북한과 관련된 내용을 취재하는 언론 기자 등도 꾸준히 공격을 받는 것으로 확인되고 있다.

ESRC가 포착한 이번 공격은 추석 연휴가 막 시작하던 지난 9월 29일 발생했으며, 마치 통일부 북한인권기록센터에서 보낸 것처럼 북한인권보고서인 ‘북한인권백서-2020’ 문서를 사칭한 것으로 나타났다.

이메일 내용에는 통일부에서 외부 공개용으로 발행된 북한인권백서를 송부해 드린다는 내용과 특정 사무관의 소속과 이름 등을 넣어 수신자가 이를 믿고 신뢰해 첨부파일을 열람하도록 치밀하게 구성했다. 만약 수신자가 해당 내용에 현혹되어 ‘북한인권백서-2020.doc’ 파일을 다운로드하고 실행할 경우 다음과 같은 화면이 보이고, 악성 매크로 명령 실행을 위해 [콘텐츠 사용] 버튼 클릭을 유도하게 된다.

▲북한인권백서로 위장한 악성 파일이 실행된 화면[자료=이스트시큐리티]


ESRC 분석에 의하면 해당 매크로 영문 유도 화면은 해외에서 이미 다수 보고된 바 있는 ‘TA551’ 위협의 악성 문서 템플릿과 동일해, 연관성 및 단순 도용 여부를 계속 조사하고 있다. 사용자가 문서 내용을 확인하기 위해 ‘콘텐츠 사용’ 버튼을 누르면 내부에 숨겨진 악성 매크로 기능과 파워셸(PowerShell) 코드가 작동하면서 컴퓨터 정보가 ‘Alzip.hwp’ 파일로 저장되고 ‘busyday.atwebpages[.]com’ 서버와 통신하며 정보 탈취가 시도된다. 또한, 추가로 내려오는 명령에 따라 파워셸 기반의 키로깅(Keylogging) 기능이 은밀히 실행되고, 이후 입력되는 개인정보들이 해커에게 고스란히 넘어가는 전형적인 사이버 스파이 활동을 보이지만, 코드 설정에 의해 윈도우 64비트(bit)에서만 정상 감염 활동을 하는 특징이 있다.

실제 북한 인권 관련 문서 내용을 보여주어 악성 코드에 노출된 사실을 최대한 인지하기 어렵도록 만들기 때문에 각별한 주의가 필요하다. 실제 보이는 화면은 통일연구원 웹 사이트에 공개된 ‘White Paper on Human Rights in North Korea 2017’ 문서가 악용됐다.

▲악성 문서의 매크로 명령이 실행된 후 보이는 화면[자료=이스트시큐리티]


이스트시큐리티 ESRC센터장 문종현 이사는 “추석 연휴 전후로 대북 관련 단체장을 겨냥한 APT 공격이 동시다발적으로 진행됐고, 한국의 정부 기관을 사칭하는 등 갈수록 과감하고 노골적인 수법으로 다양한 사이버 위협 전술이 전개되고 있다”며, “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 공격 수위는 갈수록 증대되고 있어 유사한 위협에 노출되지 않도록 민관의 각별한 주의와 관심이 요구된다”고 당부했다. 이어 문 이사는 “최근 공격자들이 정상 이메일을 먼저 보내 의심받지 않도록 만든 후, 수일이 지난 후에 악성 파일이나 URL 링크를 보내는 등 사전에 치밀하게 준비된 시나리오 기반의 시간차 공격 전략을 구사하고 있어 항상 의심하고 조심하는 보안 의식이 필요하다”고 덧붙였다.

한편, 이스트시큐리티는 새롭게 발견된 악성 파일을 보안제품 알약(ALYac)에 ‘Trojan.MalDoc.353511A’ 탐지명으로 긴급 추가하였고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)