'통일부·춘천시' 사칭 북한 사이버공격 주의

악성코드로 정보 탈취 시도…배후로 탈륨·금성121 지목

컴퓨팅입력 :2020/12/09 13:47

보안 기업 이스트시큐리티(대표 정상원)는 최근 ‘탈륨’, ‘금성121'등 북한 연계 조직의 소행으로 추정되는 지능형지속위협(APT) 공격이 연이어 발견됐다고 9일 밝혔다.

이스트시큐리티 시큐리티대응센터(ESRC)가 새롭게 발견한 APT 공격은 ▲통일부 사칭 악성 메일 공격 ▲평화 통일 관련 이야기 공모전 신청서 사칭 악성 문서 공격이다.

먼저 통일부 사칭 공격은 악성 문서를 첨부한 이메일을 발송해 수신자가 파일을 열어보도록 현혹하는 전형적인 스피어피싱 공격처럼 보이지만, 실제로는 첨부파일이 아닌 악성 링크를 활용한 공격이다. 메일 본문에는 통일부에서 정식 발행한 것처럼 조작된 문서 첫 장의 이미지가 삽입돼 있고, 이미지 하단에 PDF 문서가 첨부돼 있는 것처럼 링크가 삽입돼 클릭을 유도한다. 

첨부파일 링크를 클릭하면 문서가 보이는 대신 메일 수신자의 이메일 계정 패스워드 입력을 요구하는 화면이 나타난다. 패스워드를 입력 시 정보가 공격자에게 탈취돼 이메일을 통해 주고받은 개인정보가 유출되는 것은 물론, 계정을 도용해 주변인에게 피싱 메일까지 발송되는 등 2차 피해로 이어질 수 있다.

새롭게 발견된 또 다른 공격은 춘천시 주관으로 실제 개최하는 ‘평화∙통일 이야기 공모전’ 참가 신청서를 사칭한 악성 HWP 문서를 활용하고 있다. 다만 실제 올해 개최되는 공모전의 정식 명칭은 ‘2020 평화∙통일 이야기 공모전’이지만, 발견된 악성 문서에는 ‘2021 평화∙통일 이야기 공모전’ 참가 신청서로 기재돼 공격자가 개최 연도만 교묘히 조작했다.

공격자는 이번 공격에서 한컴오피스 한글 프로그램의 ‘객체 연결 삽입(OLE)’ 기능을 악용했다. 참가 신청서 문서에는 내용 전체를 덮는 크기의 투명 OLE 객체가 삽입돼 있으며, 사용자가 문서 편집을 위해 클릭하면 공격자가 OLE 객체에 미리 심어둔 악성코드가 실행되는 방식이다.

OLE 객체 클릭 시 나타나는 보안 메시지

이런 공격 방식에 대해 ESRC는 문서 파일 자체 취약점을 악용하지 않기 때문에 최신 버전의 프로그램을 사용하거나 보안 업데이트를 모두 적용한 경우에도 악성코드가 실행될 가능성이 크다고 우려했다.

이번에 새롭게 발견된 이메일 피싱 공격과 HWP 악성 문서 공격의 배후로는 북한 정부가 공식적으로 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thallium)’과 ‘금성121(Geumseong121)’을 각각 지목했다.

관련기사

이 해킹 조직들은 한국과 미국 등지에서 활동하는 APT 그룹 중 가장 활발한 첩보 활동을 전개하고 있으며, 최근에는 코로나19 치료제를 연구하는 국내외 대표 제약사 대상 해킹, 국내 암호화폐 거래 관계자와 과학기술 분야 교육 관계자 공격 등을 시도했다는 설명이다.

문종현 이스트시큐리티 ESRC 센터장 이사는 “탈륨 등 북한 연계 APT 공격 조직의 대남 사이버공격이 전방위적으로 활발하게 진행되고 있어, 민관의 각별한 주의와 대비가 필요하다”며, “코로나19 재확산에 따라 사회적 거리두기가 2.5단계로 상향되며, 기업과 기관의 재택근무 실시가 증가하는 추세와 맞물려 사이버 위협 수위도 높아졌기 때문에, 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때”라고 당부했다.