2020.09.03 (목)

  • 흐림동두천 22.2℃
  • 구름많음강릉 25.8℃
  • 구름많음서울 22.9℃
  • 구름많음대전 24.4℃
  • 대구 24.7℃
  • 구름많음울산 28.6℃
  • 구름많음광주 25.5℃
  • 구름많음부산 26.9℃
  • 구름많음고창 25.0℃
  • 구름조금제주 26.8℃
  • 구름많음강화 23.7℃
  • 흐림보은 23.3℃
  • 구름많음금산 24.5℃
  • 구름많음강진군 26.7℃
  • 구름많음경주시 28.7℃
  • 구름조금거제 26.3℃
기상청 제공

북한

[이스트시큐리티] 개성공단 근무 경험자 연구, 학술지 논문 투고 규정 문서 사칭 APT 공격 주의… ‘탈륨’ 조직 소행 추정

- 美 MS사에 고소당한 ‘탈륨(Thallium)’ 해킹 조직, 한국을 상대로 지속적 위협 증가
- 개성공단 근무 경험자 연구 문서, 아/태 지역 연구논문 투고 규정으로 사칭해 공격
- 위협 요소 중 사전 침투 테스트 또는 제작 실수로 추정되는 악성코드 변종 발견

URL복사

통합보안 기업 이스트시큐리티(대표 정상원)는 특정 정부가 연계된 것으로 알려진  ‘탈륨(Thallium)’ 해킹 조직의 새로운 APT 공격 징후가 포착되었다고 3일 밝혔다. 

 

 

탈륨은 2019년 12월 미국 마이크로소프트(이하 MS)사가 버지니아주 연방법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다.

 

실제로 MS는 지난 8월 26일 탈륨 피고인이 출석하지 않은 공석 상태로 진행하는 ‘궐석 재판’을 요청하였고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝힌 바 있다.

 

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 탈륨 조직이 사용한 이메일 계정에 일부 국내 서비스 주소가 포함되어 있고, 비트코인 키워드를 아이디로 사용하거나 과거 한국에서 보고된 악성 파일과 밀접하게 연관된 것으로 분석했다.

 

또한 최근 ESRC는 탈륨 조직이 제작한 것으로 분석된 여러 종의 최신 악성 파일을 발견했다.

 

 

발견된 악성 파일은 ▲‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’을 담은 문서, ▲’아시아/태평양 지역의 학술 연구논문 투고 규정’ 문서 등을 사칭해 유포되고 있다.

 

지금까지 탈륨 조직은 hwp, docx 문서 파일에 악성코드를 교묘히 삽입해 이메일 첨부 파일로 전송하는 일명 스피어 피싱 공격 수법을 사용해, 국내 위협 활동을 전개해 왔다.

 

반면 새롭게 발견된 악성 파일은 EXE 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다.

 

ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT(지능형 지속 위협) 표적에 노출되었을 가능성을 높게 예상하고 있다.

 

아울러 분석 결과 이번 악성 파일은 동작하지 않는 복수의 악성 코드가 삽입되어 있는 특징도 발견되었다. ESRC는 동작하지 않는 악성 코드가 보안 제품의 사전 탐지 테스트를 위한 목적으로 치밀하게 의도돼 삽입된 것인지 또는 제작자의 예기치 못한 실수인지 여부를 분석 중에 있다.

 

 

다만, 동일한 시점에 발견된 악성 파일 중 일부는 감염된 PC의 정보를 은밀히 유출하는 사이버 스파이 행위를 정상적으로 수행하는 것으로 분석돼 주의가 필요하다.

 

또한 실제 명령이 정상 동작하는 ‘논문 투고 규정 사칭’ 악성 문서에서는 중국식 표현으로 추정되는 'zhaozhongcheng' 계정이 발견되었으며, 이 사용자 정보는 기존 탈륨 조직의 해킹 공격과 연관성이 있는 것으로 나타났다.

 

이 밖에도 ‘pingguo2.atwebpages[.]com’, ‘portable.epizy[.]com’, ‘ramble.myartsonline[.]com’ 등 명령 제어(C2) 서버와 악성 파일 간의 통신 체계가 탈륨 조직의 방식과 정확히 일치하고, 일부 서버는 기존 ‘페이크 스트라이커’ APT 캠페인 때와 동일한 흐름을 사용한 것도 확인되었다.

 

이스트시큐리티 ESRC센터장 문종현 이사는 “특정 정부가 연계된 탈륨 조직은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자(Threat Actor)로 등재되어 있다”며, “정치·외교·안보·통일·국방·대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했다.

 

또한 문 이사는 “공식 설문조사나 서류심사, 행사 초대 등을 빌미로 접근하는 악성 이메일을 발송해, 메일 수신자가 첨부 파일을 열어보도록 심리적으로 현혹하는 수법을 사용하고 있다”며,  ‘만약 이와 유사한 것으로 의심되는 이메일을 수신할 경우, 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해야 한다”고 설명했다.

 

현재 이스트시큐리티는 자사 백신 프로그램 알약(ALYac)에 관련된 악성 파일을 탐지, 차단할 수 있도록 긴급 업데이트를 완료했으며, 이와 동시에 피해 방지를 위해 관련 부처와 긴밀한 대응 공조 체제도 가동하고 있다.

 

한편 마이크로소프트(MS)는 지난해 12월 30일 자사 블로그를 통해 , 북한 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고 그들이 악용한 웹 도메인을 통제했다는 사실을 알렸다.

 

 

그러면서 "사이버 공격을 시도한 대상은 탈륨이라는 이름의 해킹 그룹이다. 탈륨은 공무원과 싱크탱크 연구원, 대학교 직원, 인권 단체와 비핵화 단체 회원 등을 공격 대상으로 삼았다"고 밝혔다.

 

MS는 이어 "탈륨은 피해자의 온라인 계정을 손상시키고 컴퓨터와 네트워크를 침해해 민감한 정보를 훔쳤다. 대부분 미국과 일본, 한국이 목표 대상이었다"고 덧붙였다.

 

 

 

 




포토뉴스

더보기



외교

더보기
진중권 교수, 송영길의원에 "성추행은 '문화'가 아니라 범죄...괜히 더듬어만지당이겠나?" 직격탄
더불어민주당 송영길 의원은 19일 오전 MBC라디오 '김종배의 시선집중'에 출연해 뉴질랜드 한국 대사관 현지 직원의 ‘엉덩이 툭툭’ 성추행 의혹에 대해 "문화의 차이도 있다고 본다"며 "같은 남자끼리 배도 한 번씩 툭툭 치고 엉덩이도 치고 그랬다"고 언급했다. 이는 지난 뉴질랜드 정부가 지난 2017년 12월 주뉴질랜드 대사관에서 근무하던 한국 외교관 A씨가 현지 남성 직원을 성추행했다는 혐의를 제기하며 직접 조사를 요구한 사건관련 발언이다. A씨는 피해 직원의 엉덩이를 만지는 등 3차례 성추행한 의혹을 받았고 뉴질랜드 사법 당국의 조사가 시작되기 전인 2018년 2월 임기 만료로 뉴질랜드를 떠났다. 외교부는 자체 조사를 통해 A씨에게 2019년 2월, 감봉 1개월의 징계를 내렸다. 그러나 피해자가 지난해 10월 뉴질랜드 경찰에 신고했고, 뉴질랜드 사법 당국은 A씨에 대한 체포영장을 발부하고 한국 정부에 수사 협조를 요청했다. 뉴질랜드 저신다 아던 총리가 지난달 문재인 대통령과의 통화에서 관련 문제를 제기하자 외교부는 필리핀에서 근무하고 있던 A씨를 최근 귀국 조치했다. A씨는 신체 접촉 사실은 인정하면서도 '성추행 의도는 전혀 없었다'며 혐의를 부인하는 것

오피니언

더보기