보안 기업 이스트시큐리티(대표 정상원)는 북한의 최근 내부 소식으로 위장한 악성 HWP 문서 파일 공격이 발견됐다고 30일 밝혔다.
발견된 문서를 살펴보면 공격자는 실제 탈북민이나 대북 소식통으로 신분을 위장해 최신 북한 뉴스를 제공하겠다는 식으로, 대북 분야 활동가나 전문연구원 등에 접근하려 했다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 공격자는 초반엔 정상적인 이메일을 수 차례 보내 대상자를 먼저 안심시키는 사전 준비과정을 거치고, 자신을 믿는다고 판단된 순간 악성 파일을 전달했다.
아울러 HWP, DOC 등 악성 문서파일을 전송할 때 보안 프로그램의 탐지와 의심을 최소화하기 위해 문서작성 프로그램의 자체 암호 설정 기능을 악성코드에 적용해 보냈다. 공격자는 이메일을 회신한 사람에게만 해제 암호를 제한적으로 전달했다.
문서 파일을 열어볼 경우 공격자의 명령제어(C2) 서버와 기기가 연결된다.
ESRC는 악성코드를 살펴본 결과, 공격자가 실제 북한 언어 표현에 능통한 것으로 보이는 흔적이 발견됐다고 밝혔다. 이번 공격의 배후로는 북한 정부를 배후에 둔 해킹 조직 ‘탈륨’을 점쳤다.
관련기사
- 북한 해킹 최신 유행은 'DOC·난독화·다음 메일'2020.10.16
- '네이버 고객센터'? 자세히 보면 악성메일2020.09.11
- 북한 해커, '북한·아태 지역 연구 문서' 사칭 악성파일 유포2020.09.03
- 北 해커, '삼성 클라우드' 사칭 메일로 대북 종사자 공격2020.08.25
문종현 이스트시큐리티 ESRC센터장 이사는 “탈륨 조직의 공격 대상 리스트에는 정치, 외교, 안보, 통일, 국방 전·현직 관계자를 포함해 주요 정부기관 자문위원으로 활동하는 교수진과 북한 전문 취재 기자들이 포함돼 있는데, 이와 더불어 암호화폐 분야나 국내외 의료 및 제약사 관계자 등 전방위 공격이 수행되고 있다”며 “특정 정부와 연계된 것으로 알려진 탈륨의 사이버 위협 수위는 갈수록 증대되고 있어 유사 위협에 노출되지 않도록 민관의 특별한 주의와 관심이 요구된다”고 당부했다.
이어 문 이사는 “대북 분야 관계자와 정상적 이메일을 수차례 주고받아 의심을 최소화 후, 수일이 지난 후에 악성 파일이나 URL 링크를 보내는 등 사전에 치밀하게 준비된 시나리오 기반의 시간차 공격전략을 구사하고 있다"며 "항상 의심하고 조심하는 보안 의식이 절실할 때”라고 덧붙였다.
