11.42
0.52
18일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 악성 문서(doc)는 처음 실행 시 마이크로소프트(MS) 오피스 업데이트로 가장한 허위 영문 메시지를 보여준다. 상단 ‘콘텐츠 사용’ 버튼을 클릭해 악성 매크로 기능을 허용하도록 유도한다.
만약 메일 수신자가 ‘콘텐츠 사용’ 버튼 클릭을 누르면 매크로에 숨겨진 악성코드가 동작해 해킹 피해로 이어진다. 컴퓨터에 설치된 백신 프로그램 정보 등을 수집하고 외부 서버와 통신해 정보 탈취와 추가 악성 파일 다운로드를 시도한다. 추가 다운로드되는 페이로드 기능의 악성 파일(pay1.down)은 사용자 정보를 수집해 공격자에 전송하는 스파이웨어다.
ESRC는 이번 공격의 배후로 해킹그룹 ‘탈륨(Thallium)’을 지목했다. 페이로드를 내려받는 서버가 이 조직이 앞서 벌인 공격에서 목격된 호스팅 서비스와 일치한다. 김수키(Kimsuky)라고도 불리는 이 조직은 북한 정부와 연계된 것으로 알려졌으며, 새해 들어서도 APT(지능형지속위협) 그룹 중 가장 활발한 움직임을 보인다. 한국과 미국을 포함해 글로벌 위협 활동을 펼치고 있다.
‘탈륨’은 주로 대북 분야 민간단체나 전·현직 관계자 및 언론을 대상으로 광범위한 사이버 침투 활동을 전개하고 있다. 이번 공격과 함께 지난 15일 대북 분야 전문가 상대로 ‘통일연구원’을 사칭한 해킹 이메일을 대거 유포한 정황도 포착됐다.
악성 이메일 본문에 포함된 연구 동향 이미지를 클릭할 경우 특정 피싱 서버로 접속해 이메일 암호 입력을 유도한다. 수신자가 암호를 입력할 경우 그 정보가 공격자에게 탈취되지만, 동시에 정상적인 PDF 문서가 다운로드돼 피해 사실을 인지하지 못하게 만드는 전략을 취했다. 현재 이스트시큐리티 백신 프로그램 ‘알약’은 이번 악성 파일들을 탐지하도록 업데이트됐다.
문종현 ESRC센터장(이사)은 “최근 공격자들이 일정 기간 정상 이메일을 보내 상호 신뢰도를 높인 후 악성 파일이나 URL 링크를 보내는 등 사전에 치밀하게 준비된 시나리오 기반의 시간차 공격을 구사하고 있다”며 “이메일 자체 취약점을 개발하는 등 공격 기법이 지능화되고 있어 항상 의심하고 조심하는 보안 의식이 필요하다”고 말했다.