144.16
29.43
17일 이스트시큐리티에 따르면 ‘바이든 시대 북한 비핵화 협상과 북한 체제 안전 보장 문제’ 내용을 담은 APT(지능형 지속 위협) 공격 징후가 발견됐다. 악성파일은 마이크로소프트(MS) 워드 문서 형태로 유포되고 있으며, 이메일에 인터넷 주소(URL)를 기재해 수신자가 내려받도록 유도하는 방식이다.
이 URL은 마치 국내 특정 포털 회사의 인터넷 주소와 유사하게 위조됐다. 수신자가 공식 사이트로 여기고 위조 웹사이트를 통해 악성문서를 내려받도록 유도한다. 이 문서파일을 내려받아 실행하면, 문서 내용이 바로 보이지 않고 상단에 보안 경고창이 나타나며 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다.
이때 버튼을 클릭하면 미국과 북한의 회담 등을 다루는 문서 내용이 나타나지만, 실제로는 내부에 숨겨진 악성 매크로가 즉시 작동해 수신자 PC 정보를 해커가 지정한 서버로 전송한다. 추가 원격제어 등 해킹 피해로 이어질 수 있는 상태가 된다. 전형적인 스피어피싱 공격으로, 감염된 컴퓨터 정보를 수집해 선별적으로 추가 명령을 내려보내는 수법이다.
이스트시큐리티는 이번 공격에 사용된 고유한 통신 문자열과 공격패턴이 북한의 해킹그룹 탈륨(킴수키) 조직이 이전에 사용한 것과 유사성이 있다고 판단하고 정밀분석을 진행 중이다. ‘알약’으로 탐지·차단 가능하도록 긴급 DB 업데이트를 실시했으며, 정부 부처와 후속 대응 조치를 마련하고 있다.
문종현 이스트시큐리티 ESRC센터장은 “2020년 하반기의 보안 상태를 진단하며, 한국에서 탈륨 조직의 사이버위협 수위가 예사롭지 않음을 확인했다”며, “이메일 기반 스피어피싱 공격이 진화를 거듭하고 있고, 최근에는 해킹으로 탈취한 계정의 대화에 은밀히 개입해 신분도용 기반 중간자 공격도 포착되고 있어 위협에 노출될 가능성이 매우 높다”고 설명했다.