Home > 전체기사

北 탈륨, 표적 은밀히 관찰하고 신뢰 쌓은 뒤 피싱 공격 시도한다

  |  입력 : 2021-05-26 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상적인 메일 수차례 발송해 의심 낮춘 뒤 본격적인 공격 시도
전형적인 피싱 공격으로, 첨부파일 매크로·VBS 콘텐츠 등 실행되지 않도록 주의해야


[보안뉴스 이상우 기자] 탈륨으로 추정되는 공격 조직이 금융거래 이메일로 위장한 표적형 해킹을 지속적으로 시도하고 있어 각별한 주의가 필요하다. 해당 조직은 이달 진행된 한미정상 회담 기간에도 외교·안보·통일 및 대북 분야 전문가를 상대로 한 해킹 시도 정황이 드러난 바 있다.

▲금융거래 확인 메일로 위장한 피싱 이메일[자료=이스트시큐리티]


이들은 이메일 수신 대상자의 금융거래 심리를 교묘히 자극하는 공격 방식을 사용하며, 실제로 발견된 공격에서는 마치 국내 시중은행의 공식 안내메일처럼 위장하거나 설문지 응답 또는 세미나 참석에 따른 소정의 사례비 명목으로 수신자를 현혹하고 있다.

또한, 평소 보안 경계심이 높은 공격 대상자에게 사전에 정상적인 이메일을 수차례 발송해 안심시킨 다음 본격적인 공격을 시도하는 ‘신뢰 기반’의 위협 시나리오를 적용하는 등 갈수록 치밀함과 대담성이 높아지고 있다.

일반적인 공격에는 여전히 이메일에 악성 MS 워드(DOC) 문서를 많이 사용하지만, 이번에 발견된 금융회사 이메일 사칭 공격에는 악성 엑셀(XLSX) 문서가 사용됐다. 국내 시중은행의 보안 명세서로 위장한 엑셀 문서가 실행되면 악성 매크로 코드 실행을 유도하기 위해 ‘차단된 콘텐츠를 허용해 주시기 바랍니다.’ 등의 가짜 안내 화면을 보여주는 전형적인 매크로 공격 방식이 사용됐다. 메일 수신자가 이 화면에 속아 ‘[콘텐츠 사용]’ 버튼을 누르게 되면, 악성 명령이 작동되어 개인 정보 유출 및 예기치 못한 해킹 피해로 이어질 수 있다.

▲매크로 실행을 유도하는 화면[자료=이스트시큐리티]


이스트시큐리티 시큐리티대응센터(ESRC)는 이번 공격과 같이 이메일에 첨부된 문서를 다운로드받아 악성 매크로를 실행하도록 유인하는 수법도 나날이 교묘해지고 있다고 분석했다. 특히, 최근 발견된 사례비 양식으로 위장한 이메일 첨부 악성파일에서 북한 프로그래머가 주로 사용하는 ‘창조’라는 용어가 매크로 실행 유도 수법으로 포착됐다. 보통 이런 단어 표기는 국내에서 ‘창조’ 대신 ‘작성’ 또는 ‘개발’ 등의 표현으로 대체된다.

참고로 ESRC는 라자루스 그룹의 악성 DOC 문서 사례에서 ‘프로그람’이라는 북한 표기법이 사용된 것도 공개한 바 있다. 또한, 이번 공격의 주체로 지목되는 탈륨 조직은 북한 당국의 지원을 받아 활동하는 것으로 알려져 있으며, ‘김수키(Kimsuky)’라는 이름으로도 불리고 있다. 이 조직은 악성 DOC 문서를 공격에 적극적으로 활용하고 있으며, 감염 대상자들이 현혹될 만한 주제나 키워드를 선정하는데 많은 노력을 기울이는 것으로 확인됐다.

▲악성 문서 파일에 포함된 북한식 표현[자료=이스트시큐리티]


이 밖에도 1차 해킹에 성공한 사람의 이메일을 은밀히 관찰하다가 또 다른 지인과 주고받는 정상 이메일에 몰래 개입한 후, 실제 사용자가 동일 주제로 연락하는 내용처럼 신분을 위장해 2차 공격을 수행하는 등 위험 노출 빈도가 점차 높아지고 있는 추세다.

이스트시큐리티 ESRC센터장 문종현 이사는 “페이크 스트라이커(Fake Striker)로 명명된 이번 탈륨 조직의 APT 공격 캠페인이 급증하고 있고, 주로 대북분야에서 활동하는 인물들이 위협 블랙 리스트에 존재한다”며, “마치 금융거래나 사례비 지급처럼 금전적 심리를 자극하는 등 갈수록 수법이 교묘해지고 있어 유사한 위협에 노출되지 않도록 각별한 주의와 관심이 요구된다”고 당부했다.

이어 “탈륨 조직의 대표적인 3대 APT 캠페인은 스모크 스크린(Smoke Screen), 블루 에스티메이트(Blue Estimate), 페이크 스트라이커(Fake Striker) 등이며, 이 위협 활동은 각각의 특색이 있고 현재 국내를 대상으로 매우 활발한 것으로 관찰되고 있다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화