북한 해커, '북한·아태 지역 연구 문서' 사칭 악성파일 유포

ESRC, 사용자 주의 당부… exe 실행 파일 열면 감염

컴퓨팅입력 :2020/09/03 19:07    수정: 2020/09/03 19:08

보안 기업 이스트시큐리티(대표 정상원)는 특정 정부가 연계된 것으로 알려진  ‘탈륨(Thallium)’ 해킹 조직의 새로운 지능형지속위협(APT) 공격 징후가 포착됐다고 3일 밝혔다.

탈륨은 지난해 12월 미국 마이크로소프트(MS)사가 버지니아주 연방 법원에 정식으로 고소장을 제출하면서 국제사회에 알려진 해킹 조직이다. '김수키'라는 이름으로도 알려져 있으며, 주로 국내 방위 업체를 포함, 대북 연구 분야 종사자와 탈북민, 북한 관련 취재 기자들을 공격한다. 북한 정부가 배후에 있는 것으로 추정되고 있다. 

이스트시큐리티 시큐리티대응센터(ESRC)는 최근 탈륨 조직이 제작한 것으로 분석된 여러 종의 최신 악성 파일을 발견했다.

발견된 악성 파일은 ▲‘개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략 연구 내용’을 담은 문서 ▲’아시아·태평양 지역의 학술 연구논문 투고 규정’ 문서 등을 사칭해 유포되고 있다.

탈륨 조직이 제작한 악성파일 내부에 숨겨진 문서파일 화면(출처=이스트시큐리티)

지금까지 탈륨 조직은 hwp, docx 문서 파일에 악성코드를 삽입해 이메일 첨부파일로 전송해 국내 위협 활동을 전개해 왔다. 반면 새롭게 발견된 악성 파일은 exe 실행 파일을 그대로 사용하며, 아이콘이나 파일 확장자만 문서처럼 눈속임해 파일을 실행하도록 유도하는 수법을 활용했다.

ESRC는 이번 공격에 활용된 미끼 문서들과 연관된 분야의 연구원이나 종사자들이 주요 APT 표적에 노출되었을 가능성을 높게 예상했다.

아울러 분석 결과 이번 악성 파일에 동작하지 않는 복수의 악성코드가 삽입돼 있는 점도 발견했다. ESRC는 동작하지 않는 악성코드가 보안 제품의 사전 탐지 테스트를 위한 목적으로 치밀하게 의도돼 삽입된 것인지, 또는 제작자의 예기치 못한 실수인지 여부를 분석 중이다. 

다만 동일 시점에 발견된 악성 파일 중 일부는 감염된 PC 정보를 유출하는 사이버 스파이 행위를 정상 수행하는 것으로 분석됐다. 

문종현 이스트시큐리티 ESRC센터장 이사는 “특정 정부가 연계된 탈륨은 한국을 포함해 미국에서도 APT 공격 활성도가 매우 높은 주요 위협 행위자로 등재돼 있다”며, “정치, 외교, 안보, 통일, 국방, 대북 분야에 종사하는 많은 전문직이 공격 표적에 노출되고 있어 한층 강화된 보안 의식과 각별한 주의가 요구된다”고 당부했다.

관련기사

또한 문 이사는 “공식 설문조사나 서류심사, 행사 초대 등을 빌미로 접근하는 악성 이메일을 발송해 메일 수신자가 첨부 파일을 열어보도록 심리적으로 현혹하는 수법을 사용하고 있다”며 "만약 이와 유사한 것으로 의심되는 이메일을 수신할 경우, 전문 보안업체에 자문을 요청하거나 유관 기관에 적극적으로 신고해 피해를 예방해야 한다”고 설명했다.

이스트시큐리티는 자사 백신 '알약'에서 관련 악성 파일을 탐지하고 있다.