이스트시큐리티가 '탈륨'과 '금성121' 등 북한 해킹조직 소행으로 추정되는 지능형지속위협(APT) 공격을 잇달아 포착, 이용자 주의를 당부했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 통일부를 사칭한 악성 이메일 공격과 평화·통일 분야 공모전 신청서를 사칭한 악성 문서를 발견했다.
통일부 사칭 공격은 이메일에 악성 파일을 첨부하는 스피어피싱처럼 보이지만 실제로는 악성 링크를 활용한 공격으로 확인됐다. 공격자는 이메일 본문에 통일부에서 발행한 것처럼 정교하게 조작한 문서 첫 장 이미지를 삽입하고 이미지 하단에 PDF 문서가 첨부된 것처럼 링크를 삽입했다.
링크를 클릭하면 문서 대신 수신자 이메일 계정 암호 입력을 요구하는 화면이 나타난다. 입력하는 암호는 공격자에게 넘어간다. 이메일로 오간 개인정보가 유출될 뿐더러 계정 도용으로 추후 주변인에게 피싱 이메일을 발송하는 등 2차 피해로 이어질 가능성이 크다.
평화·통일 분야 공모전을 사칭한 공격은 춘천시가 주관하는 실제 행사를 교묘히 조작했다. 공모전 정식 명칭은 '2020 평화·통일 이야기 공모전'이지만 악성 문서는 '2021 평화·통일 이야기 공모전'으로 연도만 바꿨다.
공격자는 한컴오피스 한글 프로그램 '객체 연결 삽입(OLE)' 기능을 악용했다. 문서에는 내용 전체를 덮는 크기로 투명 OLE 객체를 삽입, 이용자가 문서 편집을 위해 클릭하면 OLE 객체에 심긴 악성코드가 실행된다. 문서 파일 자체 취약점을 악용하지 않기 때문에 최신 버전을 사용하거나 보안 업데이트를 적용한 경우에도 실행된다.
ESRC는 이번 공격 배후로 북한 정부가 연계된 것으로 알려진 해킹조직 '탈륨'과 '금성121'을 각각 지목했다. 이들 조직은 최근 코로나19 치료제를 연구하는 국내외 대표 제약사를 해킹하거나 국내 암호화폐 거래 관계자와 과학기술 분야 교육 관계자 공격 등을 시도했다.
문종현 ESRC 센터장은 “북한 연계 APT 공격 조직의 대남 사이버 공격이 전방위로 진행되고 있다”면서 “민·관 재택근무 증가 추세와 맞물려 사이버 위협 수위도 높아졌기 때문에 보다 면밀하고 빈틈없는 보안 강화 노력을 해야 할 때”라고 말했다.
문 센터장은 “탈북민이나 유관 민간단체 종사자가 사이버 보안 사각지대에 놓이지 않도록 관심과 지원이 필요하다”면서 “공격자는 단순 개인이 아닌 국가 차원에서 체계적으로 활동하기 때문에 반드시 국가 사이버 안보 측면에서 해결 방안을 모색하고 접근해야 한다”고 강조했다.
오다인기자 ohdain@etnews.com
